悲剧能避免吗
北京市公安局网站上有一个《每周主要警情提示》栏目,每月3日都会发布上一个月北京地区违法犯罪活动的主要情况,包括拎包盗窃类警情高发区、入室盗窃类警情高发区、扒窃类警情高发区、偷盗机动车类警情高发区等等,同时发布的还有这些警情发生的时间,最重要的是,警方在网站上提示:市民最好将随身携带的钱包、手机等贵重物品放在视线范围内,不要随意将财物放在副驾驶座椅上,下车后要记得随手锁门;一旦发现财物被盗,应立即报警,如银行卡被盗还应尽快办理挂失,以避免遭受更大的损失。这种天气预报式的预警,对于人们提高自我保护能力,打击各种违法犯罪活动,确实能够起到相当的效果。
那么,这种预警机制,能够应用到中国企业的数据管理建设上来吗?这需要对中国信息系统安全事故发生的时间、事故的性质做定量的统计和分析才能得出结论。但基于以往发生过的信息系统安全事故的经验主义的总结,这种可能性是存在的。
中国企业的信息系统建设,不是一个个孤立进行的,从总体上看,存在着相当多的共性,比如,在差不多同样的时间内,各个行业的企业都在上ERP;又是在差不多同样的时期内,大家都在推出自己的网站;然后在差不多的时间内,大家又开始上CRM、SCM等。这是由信息系统建设的内在规律决定的,所有的企业一般都是按照这个步骤推进的,在某个时间段内遇到的问题和困难,以及可能面临的风险,自然是相同的。
一般来说,在信息化建设中,不同行业的企业遇到的主要困难也大同小异。从CEO对信息化建设的重视程度不足到“信息孤岛”难题,从业务部门配合力度不够到CIO从重视技术转向重视业务。更重要的是,从全球来看,不论硬件还是软件,也包括IT系统的实施公司,数量并不多,所以,就整个IT系统的建设而言,确实存在着相当程度的同一性。事实上,知名的IT供应商的产品、服务和实施,都是在某个行业内领先企业的信息化实践中学习、总结和提升后,复制或者推广到整个行业中去的,从本质上讲,不同企业的IT系统具有天然的同一性。
基于此,我们可以得出大致的结论,当一个企业发生数据管理事故时,这个企业所在行业内的其他企业就面临着发生同样事故的风险。伴随着今年证券公司空前火爆而来的,是整个行业信息系统安全事故的空前活跃,证明这个结论基本上是正确的。因此,和北京市公安局的《每周主要警情提示》一样,信息化领域同样存在着建立数据管理预警机制的可能。
当然,由于“家丑不可外扬”的心态,获取、收集、统计和发布信息系统安全事故肯定不是一件容易的事情,但也绝对不是一件不可能的事情。事实上,由于互联网的出现,只要某个企业发生了信息系统安全事故,无论保密工作做得多好,或早或晚,总会被外界发觉,而且总会被捅到网上。当然,这中间需要大量的组织和协调工作,不可能一蹴而就。
对于CIO来说,目前切实可靠的是,先从自己部门入手,建立起企业数据管理的统计、预警机制,提醒本部门的员工注意信息系统的安全。可以设想,随着信息系统在企业业务和管理工作中的重要性日益增强,中国信息系统安全预警机制也会由点到面地逐步建立起来。(CIO Insight )
