由CIO, CSO和普华永道联合调查的《2006年全球信息安全状况》报告新鲜出炉。在安全事故频发的情况下,全球信息安全状况显然不容乐观。
这个同类中规模最大的调查报告透露,全球信息经理(对于安全行业仍属比较新的职位)正在学习和改进,但仍很容易做出充满风险的行为,甚至可能造成灾难性的后果。
调查报告指出,尽管改进的速度比前几年要缓慢,但各行各业、私营和公共机构中越来越多的经理(CEO、CFO、CIO、CSO以及IT与信息安全副总裁和经理)继续增加对部署信息安全政策和技术的投资,他们变得在财务上更加独立,一些安全预算以两位数的速度增长。
但大多数肩负安全责任的经理在执行战略安全措施中进展很小或没有进展,50个国家的近8000个受访者中,只有17%说他们制定了总体安全战略,并且他们计划更多地将重点放在战术性措施而非战略计划上。
更难忽视的是,接连不断的大机构丢失了保存着未加密的数百万客户个人数据的便携机。在海湾地区的卡特里娜飓风之后,绝大多数公司仍没有制定业务连续性或灾难恢复计划。而且,很大比例的安全经理承认他们没有遵守安全法规。
专业从事安全领域工作的普华永道咨询合伙人Mark Lobel说,信息安全行业仍受到为安全找出商业价值的困扰,安全性仍被视为一种花费,而非某种可以增加战略价值并因此转换为收入的东西。
不过,如果有人深入剖析调查结果的话,就会找到值得乐观的理由。有证据显示,遵从安全法规的企业更可能将安全性与他们的企业的业务战略和流程相集成,将减少被成功攻击的次数和造成的财务损失。
正在成长,但速度缓慢
调查显示,至少在某些领域,数量更多的公司开始从战略角度考虑安全问题,使安全目标与业务目标相适应。以往年报告最明显的是变化是,集成物理安全(给便携机上锁等)和信息安全的公司比例在迅速增加,由2003年的29%增加到2006年的75%。
要想寻找背后的原因也不难,只需阅读有关保存秘密客户信息的便携机丢失和被盗的报道,或问一问美国退役军人事务部和AIG(都曾卷入到今年春天引起广泛关注的被盗便携机案)即可。物理安全和信息安全组合在一起,便携机丢失数据的可能性就很小。如果便携机丢失或被盗,物理安全与信息安全的组合让获得数据变得不那么容易。Sony Pictures Entertainment公司信息安全执行主管Jason Spaltro说:“在现在基于IP的控制设备、摄像机和其他安全传感器的环境中,物理安全变得越来越属于IT问题。”
而且本次报告显示,把安全政策和花费与他们的业务流程相结合的企业遭遇的财务损失和网络停机时间要少于没有做到这点的企业。
随着安全功能日益聚合和集成,安全预算也随之增加。近一半的受访者表示,他们今年的预算增加,其中1/5以上的人说增长率将达到两位数,比整体IT预算更快,更多的安全经理也在得到更多的财务自主权。这表明,安全负责人被赋予更多的责任,而这是提高安全在企业中战略地位的关键因素。
不过,全球绝大多数的公司(近64%)仍没有设立像首席安全官或首席信息安全官这样的安全职位。
战略差距
当某个人认为他没有掌握作为决策依据的足够信息、没有所需要的充足的资源或被被排斥在规划过程之外,他该做什么?一般来说,他会求助于他最了解的东西。对于信息安全经理来说,这意味着关注技术,而不是战略。
1
2
3
下一页>>
