网络安全 频道

认清事实 全球信息安全领域几大现象汇

  该认清事实了!企业的信息安全十之八九做得一败涂地。

  问问2008年8月因透过不安全的Wi-Fi入侵TJX等零售店而遭到起诉的11名黑客,便知─当时有4,000万笔信用卡与现金卡卡号被窃。问问EDS承包Medicaid理赔处理专员:今年2月她承认犯下盗卖客户社会安全号码与生日数据,以冒领退税金。

  问问犹他州大学医院聘雇来护送磁带到异地储存中心的快递人员。6月的某一天,他开了自己的车,而非公司的安保车来,结果这批包含2,200万名病患账单资料从前座被偷。

  量化安全项目的报酬率并不容易,通常因为很难算出你从避免的危机中,可获得多少金钱报偿。今年低迷的经济,迫使决策者对任何预算提案都更加保守。即使如此,调查结果显示,企业还是继续购买、导入技术工具,包括入侵检测软件、加密和身份管理等。这倒是好消息。

  然而我们研究又发现一个很严重的问题—太多企业仍然欠缺强制执行的一致化、尖端的安全流程。59%的受访者说他们有“全面性的安全策略”,PricewaterCoopers首席顾问Mark Lobel说,具有CxO层级的安全主管及发展出下述的安全策略。这两项元素越高,安全事件的发生率越低。

  但是不值得令人兴奋的分数却在今年攀高。例如,56%的受访者聘请了CxO层级的安全主管,比去年下滑4%。许多企业都会检查网络log看看有无可疑活动,但只有43%的人会稽核或监控使用者有没有遵循安全政策。这个数字比2007年上升6%,但“还不到应有的水平。”Lobel说。

  由此可知,安全仍然是被动而非主动的事情。做得更进步的公司则会收集来自网络log和其它监控系统的数据,统合到商业智能系统中,以便预测出安全弱点进而加以阻止。配合加密高手与认证管理专家,安全小组还需要统计学和风险分析师,以便跑在安全威胁之前,不让自己公司成为安全新闻的主角。

  虽然我们的研究显示“革命尚未成功”,但在发现问题之际,我们也看到一条企业通往资料安全之路,没错,还是要应用技术,同时发展一个让安全技术融入所有人工作环境的流程。所以并不是完全没有希望。现在该做的是检讨我们哪里做错了,然后改过自新。

0
相关文章