安永-信息安全管理转型.docVIP

安永:信息安全管理转型 　　尽管企业正在采取措施加强信息安全管理，但是绝大多数还跟不上日新月异的风险环境，信息安全威胁数量与复杂性不断增加，对信息安全部门跟进速度带来了挑战。 安永全球信息安全年度调查报告《应对安全，缩小差距》（以下简称“调查报告”）日前发布，这份邀请了来自于包括中国在内的64个国家，1850多位首席信息官（CIO）、首席信息安全官 （CISO） 和其他信息安全高管共同参与的调查，是安永15年来调查最为全面的一次。 调查报告显示，当前形势下，企业仅靠短期的渐进式变革和修补式解决方案是不够的，缩小差距的唯一办法是从根本上实现信息安全功能的转型。 安永大中华区信息科技风险与审计咨询服务合伙人阮祺康表示，“实施信息安全转型旨在缩小脆弱性现状和安全性目标之间日趋扩大的差距，这不依靠复杂的技术解决方案，而是需要领导力、承诺、能力和行动的勇气，不是在一两年之后而是当下。” 挑战聚焦：不容小靓 随着信息安全面貌的变迁，企业如今正面临更多更严峻的新的威胁，并且产生了更加迅速的影响。因此，企业只有经深思熟虑和全面整合的方法，实现投资效益最大化，才能更加自信地确认已对企业自身重要数据和信息进行了充分保护。 一直以来，众多行业均有信息安全案例发生，其中金融行业、高科技产业尤其容易受到威胁。电子银行等平台信息安全对于行业本身发展生死攸关的，拥有研发数据、核心技术等高密度信息的高科技产业也只有避免外部攻击和内部泄露才能稳定发展。 安永调查报告显示，企业在信息安全所面临的挑战不可小觑，概括起来主要为以下五个方面： 第一，不断升级的外部威胁：2009年，有41%的受访者注意到外部攻击正不断增加；而2011年，这一数字升至72%，甚至在2012年增至77%，攻击形式包括黑客行为、间谍活动、有组织的犯罪以及恐怖主义等。与此同时，企业也意识到了内部安全挑战，46%的受访者表示已关注到这一点，认为员工信息安全意识薄弱是成功实施信息安全项目的最大挑战。 第二，安全防范措施未能同步追随云计算快速应用的步伐。新技术在为企业带来无限商机的同时，也引发了一些新的潜在威胁。从2010年至2012年，云计算的应用增长已翻倍，但仍有38%的受访者表示所在企业没有采取任何措施，缓解云计算所带来的安全风险。 第三，移动应用方兴未艾，而安全防护技术部署明显滞后：在移动互联网发展趋势下，利用个人设备接入企业应用，有助于企业降低整体的设备采购成本，并有助于提高员工的工作效率，同时激发员工的创造力。然而，风险总是与机遇并存。安永大中华区信息科技风险与审计咨询服务总监林育民表示，“2013年调查结果显示，BYOD（Bring Your Own Dev ice，员工自带设备上班）比例上升至44%，意味着更多企业允许员工在工作中使用企业或者个人的平板电脑。这导致企业内外信息交互量激增，也令相应的安全管控变得更加困难。”然而，在快速发展的移动应用环境中，对应的安全技术与软件的使用率仍然较低，只有40%的企业对其移动设备采用了加密技术。 第四，社交媒介广泛普及。通过社交媒体，企业能迅速建立品牌与开拓市场，同样也可以快速地对企业形象造成重大的负面冲击，随之而来的挑战甚至包括数据安全、隐私隐患、监管与合规要求，以及对员工生产力的影响。2013年调查结果显示，约31%的受访者表示其所在的企业，没有设计相应的机制来应对社交媒介使用所带来的风险；这不但造成企业整体风险的上升，更严重冲击企业未来全面利用社交媒体渠道行销的能力。 第五，安全预算和能力匮乏，信息安全资源与能力亟须提升。从股东与投资人角度来看，信息安全应成为其关注的重点之一，安全管理应得到充分的支持；然而，信息安全的资源与能力问题，依旧困扰着信息安全工作。调查报告显示，62%的受访企业表示预算受限，成为信息安全工作推进的主要障碍之一；44%的企业表示，安全管理和执行人员的能力偏低，严重阻碍安全目标的实现；约63%的受访者表示所在企业尚未建立信息安全整体架构体系。 战略转型：刻不容缓 在林育民看来，对于有些企业来说，安全专业人士、安全成熟度或安全预算也许在决策过程中起到一定作用；然而，仍有许多企业采用修补式或简单叠加的应付方案，看似满足了短期的信息安全需求，但也掩盖了潜在的巨大安全隐患。“目前，许多企业仅采用治标式和修补式的解决方案提高信息安全能力，却忽略了对信息安全威胁的整体与全面的应对。然而，只有从根本上转变信息安全管理策略，企业才能有效应对现有安全威胁，及由新兴技术带来的新的安全风险。” 应对这样的形势，缩小差距的唯一途径只有对信息安全进行结构性的转变。安永指出，企业需要采取以下四个关键步骤从根本上转变信息安全部门的运营方式以进一步降低风险：首