2013年7月23日, 北京——安永第十五次全球信息安全年度调查显示,尽管企业正在采取措施加强信息安全管理,但是绝大多数还跟不上日新月异的风险环境。仅靠短期的渐进式变革和修补式解决方案是不够的,企业缩小差距的唯一办法就是从根本上实现信息安全功能的转型。
安永大中华区信息科技风险与审计咨询服务合伙人阮祺康表示,“实施信息安全转型旨在缩小脆弱性现状和安全性目标之间日趋扩大的差距,这不依靠复杂的技术解决方案,而是需要领导力、承诺、能力和行动的勇气,不是在一两年之后而是当下。”
调查报告显示,企业在信息安全所面临的挑战不可小觑,主要的挑战如下:
外部威胁有增无减,令企业深感担忧: 77%受访者表示其所在企业面临的外部威胁正不断增加。
安全防范措施未能同步追随云计算快速应用的步伐:从2010年至2012年,云计算的应用增长已翻倍,但仍有38%的受访者表示所在企业没有采取任何措施,缓解云计算所带来的安全风险。
移动应用大幅增长,但安全防护技术部署明显滞后: 44%的受访企业允许员工在工作中使用企业或者个人的平板电脑,但其中只有40%的企业对移动设备采用了加密技术。
社交媒介广泛普及,成为企业安全隐患:31%的受访者表示其企业并未采取相应的机制来处理社交媒介的安全风险。
安全预算和能力匮乏,差距持续扩大:62%的受访问企业表示预算受限,是信息安全工作的主要障碍之一。此外,44%的企业表示,安全管理和执行人员的能力偏低,严重阻碍了安全目标的实现。
该报告的结论指出:“企业只有从根本上转变信息安全管理策略,才能有效应对现有安全威胁,及由新兴技术带来的新的安全风险。”
不断升级的外部威胁
随着信息安全威胁愈演愈烈、信息安全事故频发,企业也意识到所面临的风险环境正不断地改变。尽管企业做出种种改进,仍然跟不上风险变化的速度。2009年,有41%的受访者注意到外部攻击正不断增加;到了2011年,这一数字升至72%;而在2012年,这个比例增至77%。不断加剧的外部攻击包括黑客行为、间谍活动、有组织的犯罪、以及恐怖主义等。同时,企业也注意到内部安全方面的挑战不断增加。该报告显示,近一半的受访者(46%)表示已关注到这一点,他们认为员工信息安全意识薄弱是成功实施信息安全项目的最大挑战。
势不可挡的云服务的应用
新技术在为企业带来无限商机的同时,也引发了一些新的潜在威胁。云计算是业务模式创新的主要驱动因素之一,在过去两年中,应用云计算的企业数量已经翻倍。然而,仍有38%的受访者表示其所在的企业没有采取任何措施应对风险;例如诸多企业并未对云计算服务提供商的合同管理开展相对更严格的监管流程,以及采用加密技术。
方兴未艾的移动应用
在移动互联网发展趋势下,企业员工购买并使用智能手机与数据服务的情况将越来越多。利用个人设备接入企业应用,有助于企业降低整体的设备采购成本,并有助于提高员工的工作效率,且能激发员工的创造力。然而,风险总是与机遇并存。企业亟需找到引导员工正确使用工作设备与个人设备的解决方案,为此也必须深入考虑其中的信息安全问题。
安永大中华区信息科技风险与审计咨询服务总监林育民表示,“在2011年的调查中,BYOD(Bring Your Own Device)比率仅为20%;而今年的调查结果显示,有44%的企业允许员工在工作中使用企业或者个人的平板电脑。这导致企业内外信息交互量激增,也令相应的安全管控变得更加困难。”然而,在快速发展的移动应用环境中,对应的安全技术与软件的使用率仍然较低,调查中发现,只有40%的企业对其移动设备采用了加密技术。
日渐盛行的社交媒介
社交媒体在创造众多机遇的同时,也带来许多新的挑战;通过社交媒体,企业能迅速建立品牌与开拓市场,同样也可以快速地对企业形象造成重大的负面冲击。此外,随之而来的挑战,还包括数据安全、隐私隐患、监管与合规要求,以及对员工生产力的影响。今年的调查结果显示,约31%的受访者表示其所在的企业,没有设计相应的机制来应对社交媒介使用所带来的风险;这不但造成企业整体风险的上升,更严重冲击企业未来全面利用社交媒体渠道行销的能力。
亟须提升的信息安全资源与能力
从股东与投资人角度来看,信息安全应该成为他们关注的重点之一,安全管理应得到充分的支持;然而,信息安全的资源与能力问题,依旧困扰着信息安全工作。在今年的调查报告中显示, 62%的受访问企业表示预算受限,是信息安全工作的主要障碍之一;此外,44%的企业表示,安全管理和执行人员的能力偏低,严重阻碍了安全目标的实现。
林育民说,“对于有些企业来说,安全专业人士、安全成熟度或安全预算也许在决策过程中起到一定作用;然而,这些修补式或简单叠加的应付方案,看似满足了短期的信息安全需求,但也掩盖了潜在的巨大安全隐患。”
此次调查也显示,目前企业仅采用治标式和修补式的解决方案提高信息安全能力,却忽略了对信息安全威胁的整体与全面的应对;仅约8%的受访者表示在过去两年中,企业发生的信息安全事故的数量有所减少, 因此建立一个强健的安全体系成为企业的当务之急。然而,约有63%的受访者称其所在企业尚未建立信息安全整体架构体系,只有约16%的受访者认为其所在企业的信息安全职能完全符合业务需求。
展望未来,阮祺康先生总结道,“尽管我们已经发现信息安全现状与企业的目标之间存在着不小差距,但是随着新的政府监管要求的出现与安全威胁的不断变化,此差距还会进一步扩大。 如果企业不立刻采取措施建立全面的信息安全体系,那么现有的问题加上未知的隐患,只会让企业面临的信息安全环境更加恶化。应对这样的形势,缩小差距的唯一途径只有对信息安全进行结构性的转变。”
阮祺康还表示,“实现这样的调整并不一定需要复杂的技术解决方案,它需要的是领导力及承诺,再加上能力与行动的决心。不要总说在未来如何做,关键是当下的创新实践。安永建议企业应该采取将信息安全战略与企业战略相联系,重新设计架构,持续实施转型,深入了解新技术的风险与机遇等重要举措。唯有如此,企业才能够根本性地转变其信息安全部门运作的方式,更有效地缩小不断扩大的信息安全风险差距。”
安永全球信息安全年度调查
今年是该报告发布的第十五个年头,在本年度调查过程中,共邀请了来自于包括中国在内的64个国家,1850多位首席信息官(CIO)、首席信息安全官(CISO) 和其他信息安全高管共同参与,此次调查也是该领域调查中最为全面的一次。