贵公司已花了大钱整备信息武器又很重视法规遵循,但还是受到攻击。本文告诉你为什么。为什么光有IT工具不足以提供安全?为什么遵循法规也无法保护你?为什么你需要更加注意员工和公司数据?
我们所要说的不是要你杯弓蛇影,但你需要醒一醒,该认清事实了!企业的信息安全十之八九是做得一败涂地。问问2008年8月因透过不安全的Wi-Fi入侵TJX等零售厂商而遭到起诉的11名黑客便知──当时有4,000万笔信用卡与现金卡卡号被窃。问问EDS承包Medicaid理赔处理专员:今年2月,她承认犯下盗卖客户社会安全号码与生日数据,以冒领退税金。问问美国犹他州大学医院聘雇来护送磁带到异地储存中心的快递人员。6月的某一天,他开了自己的车,而非公司的安全车来,结果这批包含2,200万名病患账单资料从前座被偷。
或者你像我们一样,访问全球7,097名业务与技术部门主管的安全问题。我们与PricewaterhouseCoopers合作第6年的“全球信息安全状况”的调查中,我们听到在信息安全、流程和人员方面满满的挑战、担忧和战胜的案例。
量化信息安全项目的报酬率并不容易,通常因为很难算出你从避免的危机中,可获得多少金钱报偿。今年低迷的经济景气,亦迫使决策者对任何预算提案都更加保守。即使如此,调查结果显示,企业还是继续购买、导入技术工具,包括入侵侦测软件、加密和">身份管理等等——这倒是好消息。
然而我们研究又发现一个很严重的问题──太多企业仍然欠缺强制执行的一致化、尖端的安全流程。59%的受访者说他们有“全面性的信息安全策略”,较去年高出2%,但这还不够多,PricewaterCoopers首席顾问Mark Lobel说,具有CxO层级的安全主管及发展出的信息安全策略。这两项元素越高,资安事件的发生率越低。
但是不值得令人兴奋的分数却在今年攀高。例如,56%的受访者聘雇了CxO层级的安全主管,比去年下滑4%。许多企业都会检查网络日志看看有无可疑活动,但只有43%的人会稽核或监控使用者有没有遵循安全政策(如果有的话)。这个数字比2007年上升6%,但“还不到应有的水平。”Lobel说。
由此可知,安全仍然是被动而非主动的事情。做得更进阶的公司则会收集来自网络日志和其它监控系统的数据,统合到商业智能系统中,以便预测出安全弱点进而加以阻止。配合加密高手与认证管理专家,信息安全小组还需要统计学和风险分析师,以便跑在安全威胁之前,不让自己公司成为资安新闻的主角。
虽然我们的研究显示“革命尚未成功”,但在发现问题之际,我们也看到一条企业通往资料安全之路。没错,还是要应用技术,同时发展一个让信息安全技术融入所有人工作环境的流程。所以并不是完全没有希望。现在该做的是检讨我们哪里做错了,然后改过自新。
大方向:技术至上
有钱就有力量,是吧?在被要求指出信息安全经费的来源时,57%受访者说是IT部门,60%表示,像是营销、人力资源和法务部门等职能部门是他们的大金主。只有24%的人说公司有专属的安全部门预算。
有了强大的IT部门,技术乃成为解决安全问题的主要方案。然而俗话说得好,“对一个拿槌子的人来说,什么东西都长得像钉子。”于是他们想用垃圾邮件过滤器来防堵网站钓鱼攻击,藉由加密公司资料阻绝笔电偷窃的发生。
如果真的有安全工具,我们的调查对象早就用上了。
例如,企业已经了解到,他们淘汰计算机硬件的过程必须更完善,像是清除掉硬盘里的数据和应用。目前已经用工具这么做的受访者有65%,比去年58%大为增加。为数据库(55%)、笔记本电脑(50%)和备份磁带(47%)及其它存储媒介进行加密的企业也比以前都多。使用入侵侦测软件的比例也攀高:相较去年的59%,今年来到63%。安装防火墙防护个别应用,而不只是服务器或整个网络的比例,则从去年的62%增加到67%。