2008全球CSO必须关注的几个问题

发帖者 小小豆叮 时间: 19:28 . 2009年2月15日星期日
标签:
  • Agregar a Technorati
  • Agregar a Del.icio.us
  • Agregar a DiggIt!
  • Agregar a Yahoo!
  • Agregar a Google
  • Agregar a Meneame
  • Agregar a Furl
  • Agregar a Reddit
  • Agregar a Magnolia
  • Agregar a Blinklist
  • Agregar a Blogmarks

2007告别无知

2007年底,普华永道发布了第五次年度全球信息安全状况调查。报告显示: 经过几年的发展,全球信息安全问题得到了空前的重视,每花费1美元的信息化投资,就有15美分用于安全。但问题依然不少,企业虽然通过聘用专业安全人员、规范管理流程和使用技术手段来应对信息安全的问题,可是对于如何解决问题仍一筹莫展,中国在常见的有关隐私安全与信息安全的大多数方面均处于滞后状态。同时,报告提醒,2008年,全球CIO/CSO应该关注的领域有了一些新的变化。

调查显示,企业比以前更清楚地看到信息安全问题是因为企业采用了一些新的工具和方法。例如:

● 添加方法: 三年前,仅37%的公司制定了整体安全策略,2007年则是57%。另外,每五家公司中有近四家至少会定期开展企业风险评估;

● 部署技术: 十个人有九个说自己在用防火墙,监视用户并依赖入侵检测设施,大公司(收入超过10亿元)的这一比例高达98%。采用了加密技术的比例空前高,达到72%,而2006年这一数字为48%;

● 雇佣人员: 首席信息安全官(CISO)的人数不断升高,每个公司信息安全人员最多可达100人。

企业正在经历从对计算机安全漏洞的一无所知到了解后的惶恐不安。但了解安全状况并不等于进步,拥有了安全技术也并不意味着安全。企业必须变得更成熟。

2008全球信息

安全形势

将发生新变化

未来的信息安全威胁会有以下的转变:

● 内部威胁逐渐展露: 2007年企业内部“员工”首次超过“黑客”成为造成安全事故的主要原因,内部员工所造成的安全危险成为信息安全事件的重要组成部分。

● 安全攻击手段变得更加复杂: 随着企业安全措施的不断进步,安全攻击也变得越来越复杂。迹象显示如今电子邮件病毒已经没有2005年时那么流行,但是系统有效用户身份的滥用、社会工程学、网络钓鱼攻击以及对于已知应用系统弱点的攻击会变得更频繁。

● 保护数据隐私将会得到进一步关注: 尽管在保护数据隐私方面取得了一些进展,但步伐不够快: 到2007年,22%的企业设立了首席隐私官; 56%的企业没有定期检查隐私政策是否持续执行; 61%的传输数据经过加密,但在更多领域,像数据库、共享文件、笔记本电脑和可移动媒体里的数据没有加密,成为数据泄露事故的源头。

● 开始关注合作伙伴的安全: 许多企业没有意识到,即使数据是由第三方运行和储存,他们仍然有责任保护数据: 76%的企业没有保留其客户数据的记录; 少于一半(41%)的企业要求第三方(包括外包服务商)遵循隐私政策; 42%的企业针对外部合作伙伴、客户、供应商及服务商建立了安全基本线; 65%的安全政策没有明确设定让合作伙伴和供应商遵循的方法。

2008中国CSO

需关注的领域

中国企业同样面对以上的各项挑战,在以下的领域需要尤其关注:

● 数据隐私: 在许多数据隐私保护的领域中国都相对落后,超过一半(59%)的企业都不给员工提供关于隐私政策的培训; 大多数企业(69%)没对网络交易进行安全管理。

● 信息安全保障: 综合人文、流程、技术等因素,中国在信息安全保障方面仍然较为滞后: 只有31%的中国受调查对象建立了定期的威胁和弱点评估; 72%的中国企业承认他们没有知识产权保护策略和流程; 70%的中国企业承认他们没有业务持续/灾难恢复计划和流程。

● 安全事故的影响: 中国企业需要关注安全事故对企业带来的影响,因为不够成熟的信息安全保障措施已经影响到商业运作,包括财务损失(23%)以及知识产权被盗取(18%)等问题。

● 信息安全架构: 中国企业虽然雇佣了许多全职人员投入信息安全。但是,74%的公司指出他们的组织没有首席信息安全官,而59%的中国公司没有总体信息安全战略(调查总平均值为43%)。

● 知识产权: 只有28%的中国公司有知识产权的政策。

对中国CSO的三大建议

企业普遍把信息安全看成为一个技术问题。既然主要的投入是在技术方面,那回报也主要来自技术: 工具会告诉你在发生的事情,并阻挡最低级的攻击。但技术一般比较被动,仅限于当一些预定的规则一旦被违反,就会发出警报和事后对异常情况报告。犹如博物馆窗户上的玻璃破碎传感器,对于警告有人破窗方面特别有效,但对油画如何被盗以及为何被盗,传感器不会也不能做任何解释,更不会帮助预防下次窗户被打碎或下一次油画被盗。

当安全人员看到了问题时,往往并未发现所有的问题。企业会发现钱花错了地方,还会发现好的员工带着良好的愿望把工作带回家,因为不慎丢失笔记本电脑,或将数据放入其家庭电脑时,会发生安全隐患。这种例子枚不盛举。

信息安全已经不再是一个纯技术问题,要从根本上解决,企业必须制定战略计划。安全投资必须从重技术转向重情报,要树立风险分析和防范思想。安全管理人员必须同时考虑三个相关的领域: 管理流程、人员和技术。只有这样,企业才会走出被动局面。

对战略及管理流程的建议

● 制定总体信息安全战略,使信息安全在企业里有明确的定位;

● 制定业务持续及灾难恢复战略和计划,减低一旦发生安全问题对企业所可能造成的影响;

● 制定配置架构的标准和流程;

● 制定致力于知识产权和信息保护的政策和流程;

● 执行定期的穿透测试、威胁和弱点评估及风险评估。

对人员设置的建议

● 设立首席信息安全官(Chief Information Security Officer / Chief Security Officer)和首席信息隐私官(Chief Privacy Officer)岗位,并由有适当经验的人员担任;

● 聘请富经验的信息安全顾问协助企业制定安全策略和处理信息安全问题。

对信息安全技术的建议

● 使用适当的安全技术,如远程登录技术和VPN技术来加强对系统和数据的访问控制;

● 配置间谍软件(用户活动监视软件)、恶意广告软件及垃圾信息的侦察和入侵侦察工具;

● 配置网络防火墙、用户活动监控工具和内容过滤工具。

淘宝热门商品:
 

98.00 元 

08新款 日式V领子二件套+黑色领带假二件套 本店热销款

 

288.00 元 

【19shop 超值正品】英国TOPMAN经典修


来源:占普网

0 评论:

订阅: 博文评论 (Atom)

发表评论