不只防护系统，更要防护信息

    一个地方只要存有信息，信息安全经理就得时时牵肠挂肚。在我们调查中，过去一年发生过1~49件资安事件的公司有38%；而另外35%的经理不知道公司是不是有被攻击过。这和去年结果相去不远。

    在这些曾经受害的受访者中，有39%是透过服务器或防火墙日志发现，37%是安装了入侵侦测或入侵防御系统。但也有很大一部份（36%）表示，是同事告诉他们的。这些数据反映出一个千古不变的道理，就是想建构良好的信息安全环境，人的重要性不亚于技术。这再度证明定期员工训练的重要性。

    灌输员工数据防护与完整的责任观念，是确保公司免于安全威胁最好方法，大陆航空CISO Tim Stanley说。

    Stanley将公司的所有档案依据3种变项来分类：所有人、商业价值和风险层次。政府有“绝对机密”、“极机密”、“机密”3种等级，但大陆航空要求的更细，更灵活，分成层次和子层次。该公司会这么想，使得它比其它公司走得都要前面。只有24%的人表示，公司信息政策包含根据数据的商业价值来分类。虽然有68%根据风险程度来分类，但有30%从来没有执行过。

    此类项目的复杂性，说明了为什么比例这么低的原因。Lobel说：“这个项目要做很多工作，除非有法令规定，否则许多人不可能投入。”

    Stanley预计一个项目得花3~4年。“任何和飞机飞上天，以及和钱相关的数据都算第一层。”她解释。这包含机组人员排程、货机和油料需求，以及信用卡处理数据。第二层或第三层也很重要，不过是非关飞行的信息，例如让员工存取退休年金账户相关数据。

    安全技术和程序必须和数据所有人定义的数据风险和层级相对应。层级一可能要求一天两次备份及双因素认证。“我可以依据数据的价值来投入适当的资源，并因此帮公司省下钱。”他说：“不用再花10元来保护价值仅5元的数据。”CEO听到这番话一定很高兴。

什么才能帮我们赚钱

    本调查44%的受访者说，他们今年增加了资安预算，4%表示预算减少，平均预算为170万美元。那这些钱会花到哪去呢？未来一年的重点是聘请资安顾问和资安长。受访者还计划为手持装置发展资安程序和身分认证策略。他们计划投资新的技术来强化机密数据的存取，包括生物辨识，以及购买数据外泄防护、资安事件关联性工具，以分析出有什么样的资安问题，什么方法有效，什么方法没效。

    Lobel指出，这些步骤可望让企业渐渐具备更完善的资安策略。他指出，已有40%的企业，将信息安全当成一种吸引客户的手法，诉求他们比竞争者更能保护客户资料。“唯有做得好、做得出效果，资安才能成为你的竞争优势。”