如今人们越来越需要基于风险管理原则确定安全投资的重点——这是许多CIO和信息安全从业人士很陌生的一个领域,不过可以从同行身上学到一点知识。
要密切关注贵公司面临的信息安全风险,否则贵公司可能会发现自己疲于应付,这就是《2008年战略安全调查》得出的主旨。这次调查的对象是近1100名IT和业务专业人士,调查话题是保护公司资产的计划和优先项目。
投资收回成本不是最大问题
让安全投资收回成本不是最大的问题:足足95%的调查对象认为今年预算会与去年保持稳定,或者加大幅度。但这么大的投入并没有使数据变得更安全。66%的调查对象表示,就容易遭到安全泄密和恶意代码攻击的程度而言,今年与去年一样,甚至还要糟糕。“不比过去来得糟糕”何时开始成了可以接受的投资回报?
解决办法在于针对特定的威胁来保护安全。可问题是,说到采用有系统的风险管理流程,IT人员远远落后于其他方面。不过有些技术专业人士已经在积极分类IT资产、赋予风险值、评估威胁、然后确定何处及如何缓解风险,他们发现,风险管理流程极其重要。
简而言之,风险管理原则为信息安全带来了精确性。
这次安全调查表明了风险管理如何可以让公司把注意力放在对付最重要的威胁上:不安全的代码编写方法让所有调查对象都遭了殃。所在组织已落实风险管理计划的调查对象当中近一半在设计应用程序时就具体规定了安全功能。在没有落实风险管理计划的调查对象当中,只有22%专注于代码的安全性。
我们需要这次安全调查带来的那种震撼。21%的公司从来没有进行过安全风险评估;而在进行过这项工作的公司当中,只有五分之一严格使用了专业的外部审计人员。尽管63%的公司需要满足与数据安全有关的政府或者行业法规,但其中许多法规并没有为如何遵守提供充分的指导。在这类灰色地带,最佳实践是最佳防御之道。
公司还没有及时部署加密技术,以此保护客户和员工的数据。我们原先希望,不断发生的一系列重大数据丢失事件会让大多数公司开始积极采取综合的隐私保护措施。所以我们发现一半以上的公司为了保护客户数据而采取的惟一措施居然就是向员工告知安全标准、在网站上发布隐私政策,觉得灰心丧气。这些是正确步骤,但并不排斥需要加密(只有34%的公司采用了加密)或者需要隐私政策审计(只有25%的公司采用了审计)。让人震惊的是,11%的公司表示没有隐私方面的防范措施来保护客户数据。任何措施都没有。
