close
資訊安全問題己如野火般到處延燒,根據”2005全球資訊安全現況調查” 結果顯示,全世界的資訊安全人員如救火員一般,努力地守住防線,避免閃燃和火場風暴。此次調查為第三次年度調查,共有63個國家8200位IT和資訊安全人員接受調查,時間長達六個月。
 
而調查資料顯示,僅有37%的受訪者具有安全防護策略。其餘的24%受訪者表示在下年度會規劃建立相關策略。在安全威脅日益嚴重、複雜的目前看來,實在不是件好事。因此我們從此次調查報告中節錄幾個重點,可讓您進行標竿比較,在安全問題尚未釀成大災難前,能有所範警惕。
 
策略性安全思維的播種
當資訊安全在組織內引起更高注意時,安全措施即得到改善
企業的資訊部門,過去最常以被動的方式回應安全事件、安裝防火牆、處理垃圾郵件和間諜軟體,連進行企業持續營運規劃和災難復原計劃亦是被動進行。而今年調查中,有許多公司開始利用策略性作法,如聘任資訊安全主管,並且著重於實體和資訊安全之整合。其中有37%的受訪者表示企業具備整體安全策略,而在CSO (企業安全主管)則高達62%。同時雇用安全主管的企業,在資訊安全投入和政策上結合企業目標,讓員工遵守安全政策之比例亦相對提昇。相對地,資源預算之投入亦較高。
 
 
保全的使用環境
企業愈大,愈需要監督員工
不論私人企業或政府部門,對於員工的監測比例快速昇高。其原因來自下列幾項因素;首先,資訊安全主管禁止使用即時訊息和其他相關應用程式,因為此種程式不僅降低員工生產力,更會輕易地洩漏企業智慧財產和其他資訊。再者安全主管要消除垃圾郵件和間諜軟體,因為這些程式會導致網路未經授權使用、斷線、網路連線品下降、散播病毒,其至產生未來攻擊機會等。另亦必須防止使用者利用點對點傳輸(p2p)軟體下載具版權之資,如音樂、電影等。最後更必須防範內賊的破壞。根據調查有37%的資訊安全攻擊來自內部員工破壞,另外 28%來自離職員工和往來廠商。這同時也解釋了為何88%的受訪者表示己經或準備對員工進行監測作業。
 
 
安全
金融業是對安全最重視的產業,可學習最佳典範之作法
金融服務業長久己來對於資訊安全之管理遠優於其他產業,主要原因是資產可貴性和全面資訊化之緣故。產業風險較高、影響較大,故資訊安全之保護程度較高。透過調查資料顯示,金融業對資訊安全作較具策略性,較為安全,同時也較具信心。另一個讓資訊安全作業成功執行的因素是企業規模較大,愈大的金融企業愈有資源和預算支持資訊安全計劃,但相對地管理上亦愈困難。
 
而使金融業和其他產業在資訊安全表現上最大不同之處,首推資金之投入。金融業通常在資訊安全方面預算較其他產業之高,但不一定高於整體IT預算。並且在資訊安全管理較完善之原因,通常來自於有效的預算控制和策略規劃投入,而非採用之技術所導致。其中一項最簡單的投資即是防火牆的建立。在此次調查中,此項作業在下年度最具策略優先作業項目中排名第五,但在金融業之優先作業項目中則在十名之外。資料備份作業也一樣,在整體優先作業調查中排名第三,但在金融業卻排名落後。主要是因金融業均己經具備這些技術能力,但了解愈多技術並非就代表作業更為安全。 
 
在另一方面,銀行業和其他受訪者相比較,進行相容性測試的比例較低。主要原因是法規的限制。再則金融業較其他產業更喜歡運用投資報酬率(ROI)估算和對企業目標之貢獻度來調整資訊安全的投入方向,同時他們也喜歡用法律和法規要求、負債與營收影響來調整對資訊安全之投資。另外調查中另一個有趣的現象是所有金業之受訪者將”同業作業方式”視為調整資訊安全投資調整之方向。此一現象顯示產業內部各企業有部份資訊共享之現象,或者業界中各安全主管有抄襲的行為文化。
 
最後金融業之資訊安全較其他產業完善之另一原因是資訊安全作業和實體安全作業整合。由於利用實體安全漏洞,或破壞實體與資訊安全作業間聯結而竊取資料的情況日漸昇高,因此兩種作業相互整合才能遏止意外發生。
 
漏洞太多,遠見太少
當惡意攻擊發生時,資訊安全主管擁有比平常更多的資訊,但並不表示他們知道如何處理因應  
 
今年整體調查中安全意外事件、停機和損壞事件數量維持穩定,但在調查中顯示”不明原因破壞”之比例大幅提昇,從兩年前的 40%升高至47%;此現象顯示受訪者沒有時間和方法去估算確實損失,或者認為損失輕微,或根本不在意。
 
此外,”不明原因的攻擊”在調查結果中顯示 它在最流行的攻擊方式中排名第二,在最常見攻擊方法中排名第四,在最高攻擊來源中排名第三。此外,防火牆和IDS註標檔案是發現此類攻擊的唯一方法。換句話說,資訊安全人員只能被動回應,總是在發生之後才查覺,無法找出發生原因和攻擊種類、攻擊來源和查明攻擊者身份。
 
企業資訊長、資訊安主管等可以在網路上蒐集資訊,但仍無法將較攻擊資料化為情報,有效防範於未然。長期的資訊安全部門策略目標應該重新定位為情報部門,而非僅是安全資料蒐集部門。
 
 
未來該注意的重點
在此次調查中,受訪者列舉下一年度最優先進行的策略目標為:
l          災難復原/企業持續營運計畫
l          員工自省教育計畫
l          資料備份計畫
l          整體資訊安全策略
l          網路防火牆建置
l          中央控管之資訊安全管理系統
l          定期安全稽核
l          監測員工作業
l          監測安全報告(如上線註標、易受攻擊度檢查報告等)
l          對智慧財產保護作業之資源投入
此張清單可強化資訊安全的回應能力,而員工自省計畫在策略排序中處於優先之原因是由於其成本較其他策略低。而清單中第十項,則顯示企業必須持續防範資訊盗取或其他資訊犯罪事件發生。
arrow
arrow
    全站熱搜
    創作者介紹
    創作者 chiache 的頭像
    chiache

    嘉哲的翻譯/寫作作品集

    chiache 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄