實施信息安全管理轉型刻不容緩

　2013年7月23日, 北京 — 安永第十五次全球信息安全年度調查顯示，盡管企業正在采取措施加強信息管理，但是絕大多數還跟不上日新月異的風險環境。僅靠短期的漸進式變革和修補式解決方案是不夠的，企業縮小差距的唯一辦法就是從根本上實現信息安全功能的轉型。

　　安永大中華區科技風險與審計咨詢服務合伙人阮祺康表示，“實施信息安全轉型旨在縮小脆弱性現狀和安全性目標之間日趨擴大的差距，這不依靠復雜的技術解決方案，而是需要領導力、承諾、能力和行動的勇氣，不是在一兩年之后而是當下。”

　　調查報告顯示，企業在信息安全所面臨的挑戰不可小覷，主要的挑戰如下：

　　u 外部威脅有增無減，令企業深感擔憂: 77%受訪者表示其所在企業面臨的外部威脅正不斷增加。

　　u 安全防范措施未能同步追隨云計算快速應用的步伐:從2010年至2012年，云計算的應用增長已翻倍 ，但仍有38%的受訪者表示所在企業沒有采取任何措施，緩解云計算所帶來的安全風險。

　　u 移動應用大幅增長，但安全防護技術部署明顯滯后: 44%的受訪企業允許員工在工作中使用企業或者個人的平板電腦，但其中只有40%的企業對移動設備采用了加密技術。

　　u 社交媒介廣泛普及，成為企業安全隱患：31%的受訪者表示其企業并未采取相應的機制來處理社交媒介的安全風險。

　　u 安全預算和能力匱乏，差距持續擴大：62%的受訪問企業表示預算受限，是信息安全工作的主要障礙之一。此外，44%的企業表示，安全管理和執行人員的能力偏低，嚴重阻礙了安全目標的實現。

　　該報告的結論指出：“企業只有從根本上轉變信息安全管理策略，才能有效應對現有安全威脅，及由新興技術帶來的新的安全風險 。”

　　不斷升級的外部威脅

　　隨著信息安全威脅愈演愈烈、信息安全事故頻發，企業也意識到所面臨的風險環境正不斷地改變。盡管企業做出種種改進，仍然跟不上風險變化的速度。2009年，有41%的受訪者注意到外部攻擊正不斷增加;到了2011年，這一數字升至72%;而在2012年，這個比例增至77%。不斷加劇的外部攻擊包括黑客行為、間諜活動、有組織的犯罪、以及恐怖主義等。同時，企業也注意到內部安全方面的挑戰不斷增加。該報告顯示，近一半的受訪者(46%)表示已關注到這一點，他們認為員工信息安全意識薄弱是成功實施信息安全項目的最大挑戰。

　　勢不可擋的云服務的應用

　　新技術在為企業帶來無限商機的同時，也引發了一些新的潛在威脅。云計算是業務模式創新的主要驅動因素之一，在過去兩年中，應用云計算的企業數量已經翻倍。然而，仍有38%的受訪者表示其所在的企業沒有采取任何措施應對風險;例如諸多企業并未對云計算服務提供商的合同管理開展相對更嚴格的監管流程，以及采用加密技術。

　　方興未艾的移動應用

　　在移動互聯網發展趨勢下，企業員工購買并使用智能手機與服務的情況將越來越多。利用個人設備接入企業應用，有助于企業降低整體的設備采購成本，并有助于提高員工的工作效率，且能激發員工的創造力。然而，風險總是與機遇并存。企業亟需找到引導員工正確使用工作設備與個人設備的解決方案，為此也必須深入考慮其中的信息安全問題。

　　安永大中華區信息科技風險與審計咨詢服務總監林育民表示，“在2011年的調查中，BYOD(Bring Your Own Device)比率僅為20%;而今年的調查結果顯示，有44%的企業允許員工在工作中使用企業或者個人的平板電腦。這導致企業內外信息交互量激增，也令相應的安全管控變得更加困難。”然而，在快速發展的移動應用環境中，對應的安全技術與軟件的使用率仍然較低，調查中發現，只有40%的企業對其移動設備采用了加密技術。

　　日漸盛行的社交媒介

　　社交媒體在創造眾多機遇的同時，也帶來許多新的挑戰;通過社交媒體，企業能迅速建立品牌與開拓市場，同樣也可以快速地對企業形象造成重大的負面沖擊。此外，隨之而來的挑戰，還包括數據安全、隱私隱患、監管與合規要求，以及對員工生產力的影響。今年的調查結果顯示，約31%的受訪者表示其所在的企業，沒有設計相應的機制來應對社交媒介使用所帶來的風險;這不但造成企業整體風險的上升，更嚴重沖擊企業未來全面利用社交媒體渠道行銷的能力。

　　亟須提升的信息安全資源與能力

　　從股東與投資人角度來看，信息安全應該成為他們關注的重點之一，安全管理應得到充分的支持;然而，信息安全的資源與能力問題，依舊困擾著信息安全工作。在今年的調查報告中顯示， 62%的受訪問企業表示預算受限，是信息安全工作的主要障礙之一;此外，44%的企業表示，安全管理和執行人員的能力偏低，嚴重阻礙了安全目標的實現。

　　林育民說，“對于有些企業來說，安全專業人士、安全成熟度或安全預算也許在決策過程中起到一定作用;然而，這些修補式或簡單疊加的應付方案，看似滿足了短期的信息安全需求，但也掩蓋了潛在的巨大安全隱患 。”

　　此次調查也顯示，目前企業僅采用治標式和修補式的解決方案提高信息安全能力，卻忽略了對信息安全威脅的整體與全面的應對;僅約8%的受訪者表示在過去兩年中，企業發生的信息安全事故的數量有所減少， 因此建立一個強健的安全體系成為企業的當務之急。然而，約有63%的受訪者稱其所在企業尚未建立信息安全整體架構體系，只有約16%的受訪者認為其所在企業的信息安全職能完全符合業務需求。

　　展望未來，阮祺康先生總結道，“盡管我們已經發現信息安全現狀與企業的目標之間存在著不小差距，但是隨著新的政府監管要求的出現與安全威脅的不斷變化，此差距還會進一步擴大。 如果企業不立刻采取措施建立全面的信息安全體系，那么現有的問題加上未知的隱患，只會讓企業面臨的信息安全環境更加惡化。應對這樣的形勢，縮小差距的唯一途徑只有對信息安全進行結構性的轉變。”

　　阮祺康還表示，“實現這樣的調整并不一定需要復雜的技術解決方案，它需要的是領導力及承諾，再加上能力與行動的決心。不要總說在未來如何做，關鍵是當下的創新實踐。安永建議企業應該采取將信息安全戰略與企業戰略相聯系，重新設計架構，持續實施轉型，深入了解新技術的風險與機遇等重要舉措。唯有如此，企業才能夠根本性地轉變其信息安全部門運作的方式，更有效地縮小不斷擴大的信息安全風險差距。”

相關文章：

淺析ERP系統環境下的企業信息安全管理 ISO27001信息安全管理體系與等級保護管理要求 從信息安全管理角度探討網絡隔離技術 ISO27001系列標準介紹