根据2012年全球信息安全调查,43%的受访者表示已经建立了一个有效的信息安全战略和积极执行计划的措施,在信息安全管理方面是“领跑者”。27% 的受访者是“战略家”,其余受访者则是“战术家”和“救火员”(分别为15%和14%)。这项调研工作由普华永道与CIO及CSO杂志携手合作,在同类调研中规模最大。
企业更重视知识产权保护根据此次全球信息安全调查,对来自138个国家超过9600名安全管理人员的调研显示,72%的受访者称对所在机构的信息安全活动的有效性有信心,比2006年前有明显下降。即使43%的人认为自己是“领跑者”,但这可能表明对信息安全性错误的了解。只有少数的受访者(13%)能成为“更加优秀的领导者”,因为他们有一个整体的信息安全战略;有一个相当于
CSO(首席问题官)、CISO(首席信息安全官)或行政机构高层的角色向高级行政层汇报,关于至少每年测量和审查安全规章制度的有效性;有一个对机构在过去一年中所面临的安全漏洞有良好的理解。
近年来严重安全事故的剧增,提高了企业高管对信息安全的意识,如今的企业比以往任何时候都更深入地了解网络犯罪和其他安全事件。
“以往几乎一半的受访者都不能回答关于最基本信息安全相关违规行为的问题,但今年,约有八成甚至更多受访者可以提供其机构具体的信息安全事故的相关次数、类型和来源。”普华永道香港风险管理及内部控制服务合伙人黄景深表示,“在当今商业环境发生重大变化的情况下,中国逐渐展现出在推动信息安全管理方面成为"领跑者"的风范。由于更加严格的法律法规要求,及在研发上的更大投入,各机构对企业机密数据及中国企业所拥有的知识产权保护的重视程度有所增加,但前方的路还很长。”
企业信息安全形势复杂化今年,绝大部分受访者认为,最危险的网络威胁之一是高级持续性渗透攻击(APT),这通常是指一组有意图、资源和能力的高技能人才,持久和有效地通过网络进行特定目标攻击;
APT与黑客的区别在于,黑客没有足够资源对网络进行持久和有效的攻击,即使他们有这样的意图。
“在今年的调查中,83%被调查的中国企业认为APT攻击将是企业的一个潜在安全问题,但只有不到28%反映公司已制定和实施了针对APT攻击的防护措施。所以,尽管中国的受访者在一些方面领先于国际同行,但还有很多企业没有充分准备好应对这一新的挑战。”普华永道北京办公室风险与内控部的合伙人冼嘉乐表示。
据调查,云计算的兴起给各行业带来好处,但也使信息安全形势复杂化。在每10个全球受访者中有超过4个、在每10个中国受访者中有6个表示,其所在机构使用某种云计算服务(软件服务为69%,基础设施服务为47%,平台种服务为33%)。虽然54%的机构表示,云计算技术改进了信息安全,但23%的人称其增加了漏洞。最大的风险认知是,用户们不能确定云计算服务供应商是否有效地执行信息安全规章制度,而服务供应商又缺乏对客户的信息安全管理的透明度。
移动设备和社交媒体代表新的风险及预防的需求。在全球,57%的受访者没有一套信息安全策略和员工使用个人设备的安全制度;63%的受访者没有对移动设备的安全策略和制度,68%的受访者没有对社交媒体的安全策略和制度,这会带来新的风险,因为雇员与其客户已经广泛地应用移动设备和社交媒体。
管理公司与合作伙伴、供货商之间所产生的信息安全的有关风险一直是个问题。今年的调查显示这个问题变得越来越严重,23%的中国受访者认为,合作伙伴和供货商是信息安全事故的起源,这比去年略有上升。长期以来的调查结果显示,现任和前任雇员是最常被怀疑为违反信息安全的源头。43%的中国受访者认为,现任和前任雇员是信息安全事故的来源,比去年增加11个百分点。
近年来,亚洲开始增加对信息安全技术的投资。今年,亚洲和中国的受访者分别预期未来12个月安全技术的拨款将跃升74%和83%,升幅远超其他地区。然而,尽管对信息安全技术的支出保持乐观态度,但大多数中国的机构在调节和平衡“人员”、“流程”及“技术”方面仍然滞后。普华永道中国北京风险管理及内部控制服务合伙人傅毓敏指出: “很多时候,中国的机构缺乏对其信息安全规章制度进行独立评估,以评价其有效性的投入。”
