全球信息安全策略：提高技術(shù)謹(jǐn)防“內(nèi)賊”

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

大方向：技術(shù)至上

貴公司已花了大錢整備信息武器又很重視法規(guī)遵循，但還是受到攻擊。本文告訴你為什么。為什么光有IT工具不足以提供安全？為什么遵循法規(guī)也無(wú)法保護(hù)你？為什么你需要更加注意員工和公司數(shù)據(jù)？

我們所要說(shuō)的不是要你杯弓蛇影，但你需要醒一醒，該認(rèn)清事實(shí)了！企業(yè)的信息安全十之八九是做得一敗涂地。問(wèn)問(wèn)2008年8月因透過(guò)不安全的Wi-Fi入侵TJX等零售廠商而遭到起訴的11名黑客便知──當(dāng)時(shí)有4,000萬(wàn)筆信用卡與現(xiàn)金卡卡號(hào)被竊。問(wèn)問(wèn)EDS承包Medicaid理賠處理專員：今年2月，她承認(rèn)犯下盜賣客戶社會(huì)安全號(hào)碼與生日數(shù)據(jù)，以冒領(lǐng)退稅金。問(wèn)問(wèn)美國(guó)猶他州大學(xué)醫(yī)院聘雇來(lái)護(hù)送磁帶到異地儲(chǔ)存中心的快遞人員。6月的某一天，他開了自己的車，而非公司的安全車來(lái)，結(jié)果這批包含2,200萬(wàn)名病患賬單資料從前座被偷。

或者你像我們一樣，訪問(wèn)全球7,097名業(yè)務(wù)與技術(shù)部門主管的安全問(wèn)題。我們與PricewaterhouseCoopers合作第6年的“全球信息安全狀況”的調(diào)查中，我們聽到在信息安全、流程和人員方面滿滿的挑戰(zhàn)、擔(dān)憂和戰(zhàn)勝的案例。

量化信息安全項(xiàng)目的報(bào)酬率并不容易，通常因?yàn)楹茈y算出你從避免的危機(jī)中，可獲得多少金錢報(bào)償。今年低迷的經(jīng)濟(jì)景氣，亦迫使決策者對(duì)任何預(yù)算提案都更加保守。即使如此，調(diào)查結(jié)果顯示，企業(yè)還是繼續(xù)購(gòu)買、導(dǎo)入技術(shù)工具，包括入侵偵測(cè)軟件、加密和身份管理等等——這倒是好消息。

然而我們研究又發(fā)現(xiàn)一個(gè)很嚴(yán)重的問(wèn)題──太多企業(yè)仍然欠缺強(qiáng)制執(zhí)行的一致化、尖端的安全流程。59%的受訪者說(shuō)他們有“全面性的信息安全策略”，較去年高出2%，但這還不夠多，PricewaterCoopers首席顧問(wèn)Mark Lobel說(shuō)，具有CxO層級(jí)的安全主管及發(fā)展出的信息安全策略。這兩項(xiàng)元素越高，資安事件的發(fā)生率越低。

但是不值得令人興奮的分?jǐn)?shù)卻在今年攀高。例如，56%的受訪者聘雇了CxO層級(jí)的安全主管，比去年下滑4%。許多企業(yè)都會(huì)檢查網(wǎng)絡(luò)日志看看有無(wú)可疑活動(dòng)，但只有43%的人會(huì)稽核或監(jiān)控使用者有沒(méi)有遵循安全政策（如果有的話）。這個(gè)數(shù)字比2007年上升6%，但“還不到應(yīng)有的水平?！盠obel說(shuō)。

由此可知，安全仍然是被動(dòng)而非主動(dòng)的事情。做得更進(jìn)階的公司則會(huì)收集來(lái)自網(wǎng)絡(luò)日志和其它監(jiān)控系統(tǒng)的數(shù)據(jù)，統(tǒng)合到商業(yè)智能系統(tǒng)中，以便預(yù)測(cè)出安全弱點(diǎn)進(jìn)而加以阻止。配合加密高手與認(rèn)證管理專家，信息安全小組還需要統(tǒng)計(jì)學(xué)和風(fēng)險(xiǎn)分析師，以便跑在安全威脅之前，不讓自己公司成為資安新聞的主角。

雖然我們的研究顯示“革命尚未成功”，但在發(fā)現(xiàn)問(wèn)題之際，我們也看到一條企業(yè)通往資料安全之路。沒(méi)錯(cuò)，還是要應(yīng)用技術(shù)，同時(shí)發(fā)展一個(gè)讓信息安全技術(shù)融入所有人工作環(huán)境的流程。所以并不是完全沒(méi)有希望?，F(xiàn)在該做的是檢討我們哪里做錯(cuò)了，然后改過(guò)自新。

大方向：技術(shù)至上

有錢就有力量，是吧？在被要求指出信息安全經(jīng)費(fèi)的來(lái)源時(shí)，57%受訪者說(shuō)是IT部門，60%表示，像是營(yíng)銷、人力資源和法務(wù)部門等職能部門是他們的大金主。只有24%的人說(shuō)公司有專屬的安全部門預(yù)算。

有了強(qiáng)大的IT部門，技術(shù)乃成為解決安全問(wèn)題的主要方案。然而俗話說(shuō)得好，“對(duì)一個(gè)拿槌子的人來(lái)說(shuō)，什么東西都長(zhǎng)得像釘子?！庇谑撬麄兿胗美]件過(guò)濾器來(lái)防堵網(wǎng)站釣魚攻擊，藉由加密公司資料阻絕筆電偷竊的發(fā)生。

如果真的有安全工具，我們的調(diào)查對(duì)象早就用上了。

例如，企業(yè)已經(jīng)了解到，他們淘汰計(jì)算機(jī)硬件的過(guò)程必須更完善，像是清除掉硬盤里的數(shù)據(jù)和應(yīng)用。目前已經(jīng)用工具這么做的受訪者有65%，比去年58%大為增加。為數(shù)據(jù)庫(kù)（55%）、筆記本電腦（50%）和備份磁帶（47%）及其它存儲(chǔ)媒介進(jìn)行加密的企業(yè)也比以前都多。使用入侵偵測(cè)軟件的比例也攀高：相較去年的59%，今年來(lái)到63%。安裝防火墻防護(hù)個(gè)別應(yīng)用，而不只是服務(wù)器或整個(gè)網(wǎng)絡(luò)的比例，則從去年的62%增加到67%。

雖然在技術(shù)層面有所進(jìn)展，但在安全流程與人員方面仍然存在隱憂——某些購(gòu)買安全防護(hù)的IT預(yù)算案仍然遭到否決。例如，加密機(jī)密數(shù)據(jù)似乎很有效，但此類技術(shù)卻無(wú)法防止員工藐視數(shù)據(jù)處理的公司政策。

如果你的目標(biāo)是確保信息，你最好能發(fā)展流程和程序，以便能將把釘子置于正確地點(diǎn)，再揮動(dòng)槌子敲下。Brandeis大學(xué)CSO Dennis Devlin指出，技術(shù)需要涵括在更大范圍的信息安全計(jì)劃下。Devlin向Brandeis大學(xué)副總裁，以及圖書館與信息技術(shù)院長(zhǎng)報(bào)告。

犯罪活動(dòng)已成為如何部署信息安全的重心了。為Wi-Fi上鎖以免讓壞蛋侵入（TJX，聽到?jīng)]？）但好人做出壞決策，更會(huì)為我們帶來(lái)無(wú)數(shù)安全災(zāi)難，Devlin說(shuō)。他去年加入Brandeis以來(lái)，以及他擔(dān)任CSO 7年之久的Thomson Corp.（現(xiàn)在稱Thomson Reuters）時(shí)都看過(guò)這類情事。

例如，員工有時(shí)著了網(wǎng)釣郵件的道，開啟了附件，那將會(huì)把紀(jì)錄密碼的鍵盤測(cè)錄程序，以及會(huì)取得操作系統(tǒng)控管權(quán)的rookit等惡意軟件散布出來(lái)。Devlin表示，信息安全經(jīng)理的工作是教導(dǎo)使用者自我防衛(wèi)。不是要員工注意帶有特定主旨的最新郵件，而是更廣泛的事物，教導(dǎo)使用者認(rèn)識(shí)點(diǎn)下一個(gè)不熟悉的URL、開啟附件，或者將社會(huì)安全號(hào)碼告訴網(wǎng)絡(luò)上任何一人時(shí)所蘊(yùn)含的風(fēng)險(xiǎn)，他說(shuō)。

“想用技術(shù)來(lái)保護(hù)任何人不受到任何安全風(fēng)險(xiǎn)威脅是不可能的?！彼f(shuō)：“我們的工作，是把我們的思維傳達(dá)給使用者。”如同Brandeis，似乎有越來(lái)越多企業(yè)正在努力這么做。今年調(diào)查中有54%的受訪者指出有提供員工信息安全課程，比去年42%增加不少。

但還是有很大的改善空間。受訪者中要求員工接受公司隱私政策和規(guī)范的訓(xùn)練只有41%，只比去年的37%稍稍進(jìn)步。43%的企業(yè)，連在內(nèi)部網(wǎng)站上張貼隱私政策這么簡(jiǎn)單的動(dòng)作都沒(méi)有。此外，許多公司的教育培訓(xùn)內(nèi)容，充其量只提供一種安全表象，即遵循政府或產(chǎn)業(yè)規(guī)范。