問問猶他州大學醫(yī)院聘雇來護送磁帶到異地儲存中心的快遞人員。6月的某一天��,他開了自己的車�����,而非公司的安保車來,結果這批包含2,200萬名病患賬單資料從前座被偷��。
量化安全項目的報酬率并不容易���,通常因為很難算出你從避免的危機中�,可獲得多少金錢報償�����。今年低迷的經濟��,迫使決策者對任何預算提案都更加保守����。即使如此,調查結果顯示�,企業(yè)還是繼續(xù)購買、導入技術工具����,包括入侵檢測軟件、加密和身份管理等����。這倒是好消息��。
然而我們研究又發(fā)現一個很嚴重的問題—太多企業(yè)仍然欠缺強制執(zhí)行的一致化�、尖端的安全流程�。59%的受訪者說他們有“全面性的安全策略”,PricewaterCoopers首席顧問Mark Lobel說�,具有CxO層級的安全主管及發(fā)展出下述的安全策略。這兩項元素越高��,安全事件的發(fā)生率越低�。
但是不值得令人興奮的分數卻在今年攀高����。例如,56%的受訪者聘請了CxO層級的安全主管��,比去年下滑4%����。許多企業(yè)都會檢查網絡log看看有無可疑活動,但只有43%的人會稽核或監(jiān)控使用者有沒有遵循安全政策��。這個數字比2007年上升6%����,但“還不到應有的水平����。”Lobel說��。
由此可知�,安全仍然是被動而非主動的事情。做得更進步的公司則會收集來自網絡log和其它監(jiān)控系統(tǒng)的數據����,統(tǒng)合到商業(yè)智能系統(tǒng)中,以便預測出安全弱點進而加以阻止���。配合加密高手與認證管理專家�����,安全小組還需要統(tǒng)計學和風險分析師����,以便跑在安全威脅之前���,不讓自己公司成為安全新聞的主角����。
雖然我們的研究顯示“革命尚未成功”,但在發(fā)現問題之際�����,我們也看到一條企業(yè)通往資料安全之路�����,沒錯�,還是要應用技術,同時發(fā)展一個讓安全技術融入所有人工作環(huán)境的流程���。所以并不是完全沒有希望?����,F在該做的是檢討我們哪里做錯了,然后改過自新����。
大方向:技術至上
有錢就有力量?在被要求指出信息安全經費的來源時,57%受訪者說是IT部門���,60%表示�����,像是營銷��、人力資源和法務部門等功能部門是他們的大金主���。只有24%的人說公司有專屬的安全部門預算����。
有了強大的IT部門�,技術乃成為解決安全問題的主要方案。然而俗話說得好���,“對一個拿槌子的人來說��,什么東西都長得像釘子��。”于是他們想用垃圾郵件過濾器來防堵網站釣魚攻擊�,藉由加密公司資料阻絕筆記本電腦偷竊的發(fā)生���。
如果真的有安全工具���,我們的調查對象早就用上了�����。
例如�����,企業(yè)已經了解到�,他們淘汰計算機硬件的過程必須更完善����,像是清除掉硬盤里的數據和應用。目前已經用工具這么做的受訪者有65%��。為數據庫 (55%)�����、筆電(50%)和備份磁帶(47%)及其它媒體進行加密的企業(yè)也比以前都多�。使用入侵檢測軟件的比例也攀高:相較去年的59%��,今年來到63%���。安裝防火墻防護個別應用�,而不只是服務器或整個網絡的比例,則從去年的62%增加到67%��。
雖然在技術層面有所進展���,但在安全流程與人員方面仍然存在隱憂—-某些購買安全防護的IT預算案仍然遭到否決���。例如,加密機密數據似乎很有效���,但此類技術卻無法防止員工藐視數據處理的公司政策���。
犯罪活動已成為如何部署信息安全的重心了�。為Wi-Fi上鎖以免讓壞蛋侵入,但好人做出壞決策���,更會為我們帶來無數安全災難���。
例如��,員工有時著了網釣郵件的道��,開啟了附件����,那將會把紀錄密碼的鍵盤側錄程序�,以及會取得操作系統(tǒng)控管權的rookit等惡意軟件散布出來。安全經理的工作是教導使用者自我防衛(wèi)��。不是要員工注意帶有特定主旨的最新郵件���,而是更廣泛的事物�����,教導使用者認識點下一個不熟悉的URL��、開啟附件�����,或者將社會安全號碼告訴網絡上任何一人時所蘊含的風險���。
“想用技術來保護任何人不受到任何安全風險威脅是不可能的。我們的工作����,是把我們的思維傳達給使用者。”如同Brandeis�����,似乎有越來越多企業(yè)正在努力這么做��。今年調查中有54%的受訪者指出有提供員工信息安全課程�����,比去年42%增加不少���。
安全名單
醫(yī)療資料相關的健康保險可移植性與責任法案(Health Insurance Portability and Accountability Act, HIPAA)�����,財務數據相關的沙賓法案�����,或是和信用卡數據相關的支付卡產業(yè)標準(Payment Card Industry standard)仍將是企業(yè)主管強化安全的重要推手�����。罰款和吃牢飯的威脅“功不可沒”�����。例如��,和去年的40%相較����,44%的受訪企業(yè)表示,只要有法律或產業(yè)規(guī)范的地方��,他們就會小心檢查;43%說他們會監(jiān)督使用者有沒有遵循安全政策���,和去年的37%相比有長足進展����?�;藘炔孔裱L險者高達55%�����,去年為 49%。
但我們切忌高興得太早��。雖然成績有所進步�����,但距離100%還遠著呢��。許多公司僅僅照章行事—而且還疏忽了基本安全把關動作����,曾任微軟CSO與AT&T CISO與IT風險管理副總裁���,現任W Risk Group主席的Karen Worstell說�����。
遵循法規(guī)和標準不見得保證就有完善的安全政策����,Worstell說���,原因有很多����。其一,企業(yè)可能只制訂了政策而不說明如何執(zhí)行�,但一樣可以通過遵循稽核。另外���,標準其實也有漏洞��。
例如PCI要求企業(yè)必須安裝防火墻來保護持卡人的數據����。但Worstell指出�,該標準仍然無法解決企業(yè)在安裝了防火墻之后���,是不是具有流程確保它是不是定期更新或監(jiān)控其執(zhí)行效率的問題。“信息安全僅符合PCI是不夠的���。”她說�����。Hannford超市在2007年12月到2008年3月之間就發(fā)生客戶信用卡被竊情事���,該公司那時已經取得“信用卡產業(yè)最高安全標準”─PCI符合認證���。
而如果貴公司監(jiān)控安全的范圍僅及自家防火墻內��,這也是不夠的��。但這正是現今企業(yè)的狀況�����。今年度的調查發(fā)現到���,企業(yè)并不知道��,顯然也不是很想知道�,數據交給其它公司后會發(fā)生什么事����,所以請做好雞飛狗跳的心理準備�����。
業(yè)務外包�����,安全拋到九霄云外
今年調查最令人擔憂的一點是:只有22%的受訪者�����,會將使用公司數據的所有外部公司記錄下來�����。
如果這點還不足以讓你打冷顫��,我們還有別的數據���。調查中只有37%的受訪者,有要求持有他們客戶或員工個人資料的第三方公司�,遵循他們的隱私政策�。對了解第三方公司進行審查���,以了解他們如何或是有沒有數據防護措施的比例就更少了—只有28%�����。然而卻有75%的受訪者表示���,對合作伙伴的安全效率具有信心��。這不是太天真了嗎?
隨著企業(yè)開始將各種工作外包出去���,對任何處理公司資料的外部業(yè)者進行審查��,也就變得空前重要了����,專精于商業(yè)機密防護的業(yè)界分析機構Security Constructs執(zhí)行總監(jiān)Tom Bowers說��。在這方面,藥廠的經驗可作為其它產業(yè)殷鑒�,他說。
Bowers加入Security Constructs之前曾在惠氏大藥廠(Wyeth Pharmaceuticals)擔任全球信息安全營運部門資深經理長達7年之久����。Bowers的安全小組就必須對惠氏藥廠的合作伙伴仔細檢查安全措施�����。他們也不得不��。“我們有責任保護智慧財產��,不論它位于何處���。不論是在我們公司,還是在都柏林的外包臨床試驗公司�,或是其它不知名的地方,一處也不能漏���。”
Shaklee CIO Ken Harris指出�,所有企業(yè)都必須確定,外包廠商的安全水平和他們一樣高—甚至更高�。“你怎么檢驗自家的安全與災難回復機制,你就那樣檢驗你的外包廠商��。”他補充說:“這都是要花時間花資源去做的��。”
然而企業(yè)卻因為成本或時間花費而省略安全檢驗,PwC的Lobel說�。檢驗合作伙伴的安全和隱私措施,最少得用上一名全職員工兩天時間來檢查最小型的公司����,他估算。“而一家大型公司一般的伙伴有上千家。”他說����。
不只防護系統(tǒng)���,更要防護信息
一個地方只要存有信息��,安全經理就得時時牽腸掛肚。在我們調查中�����,過去一年發(fā)生過1~49件安全事件的公司有38%;而另外35%的經理不知道公司是不是有被攻擊過。這和去年結果相去不遠���。
在這些曾經受害的受訪者中�����,有39%是透過服務器或防火墻log發(fā)現���,37%是安裝了入侵偵測或入侵防御系統(tǒng)�����。但也有很大一部份 ─36%─表示,是同事告訴他們的���。這些數據反映出一個千古不變的道理��,就是想建構良好的信息安全環(huán)境���,人的重要性不亞于技術�����。這再度證明定期員工訓練的重要性。
灌輸員工數據防護與完整的責任觀念�,是確保公司免于安全威脅最好方法,大陸航空CISO Tim Stanley說�。
Stanley將公司的所有檔案依據3種變項來分類:所有人��、商業(yè)價值和風險層次。政府有“絕對機密”��、“極機密”�����、“機密”3種等級�,但大陸航空要求的更細,更靈活��,分成層次和子層次。該公司會這么想��,使得它比其它公司走得都要前面�。只有24%的人表示�,公司信息政策包含根據數據的商業(yè)價值來分類�。雖然有68%根據風險程度來分類,但有30%從來沒有執(zhí)行過�。
此類項目的復雜性����,說明了為什么比例這么低的原因�。Lobel說:“這個項目要做很多工作,除非有法令規(guī)定���,否則許多人不可能投入��。”
Stanley預計一個項目得花3~4年。“任何和飛機飛上天�����,以及和錢相關的數據都算第一層。”她解釋���。這包含機組人員排程����、貨機和油料需求,以及信用卡處理數據���。第二層或第三層也很重要��,不過是非關飛行的信息�����,例如讓員工存取退休年金賬戶相關數據��。
安全技術和程序必須和數據所有人定義的數據風險和層級相對應���。層級一可能要求一天兩次備份及雙因素認證��。“我可以依據數據的價值來投入適當的資源���,并因此幫公司省下錢����。”他說:“不用再花10元來保護價值僅5元的數據���。”CEO聽到這番話一定很高興。
