【IT168 专稿】不是要你杯弓蛇影，但醒醒，该认清事实了！企业的信息安全十之八九是做得一败涂地。问问2008年8月因透过不安全的Wi-Fi入侵TJX等零售业者而遭到起诉的11名黑客便知─当时有4,000万笔信用卡与现金卡卡号被窃。问问EDS承包Medicaid理赔处理专员：今年2月她承认犯下盗卖客户社会安全号码与生日数据，以冒领退税金。问问犹他州大学医院聘雇来护送磁带到异地储存中心的快递人员。6月的某一天，他开了自己的车，而非公司的保全车来，结果这批包含2,200万名病患账单资料从前座被偷。

    或者你像我们一样，访问全球7,097名业务与技术部门主管的安全问题。我们与PricewaterhouseCoopers合作第6年的“全球信息安全状况”的调查中，我们听到在信息安全、流程和人员方面满满的挑战、担忧和战胜的案例。

    量化资安项目的报酬率并不容易，通常因为很难算出你从避免的危机中，可获得多少金钱报偿。今年低迷的景气，亦迫使决策者对任何预算提案都更加保守。即使如此，调查结果显示，企业还是继续购买、导入技术工具，包括入侵检测软件、加密和身份管理等等。这倒是好消息。

    然而我们研究又发现一个很严重的问题—太多企业仍然欠缺强制执行的一致化、尖端的安全流程。59%的受访者说他们有“全面性的资安策略”，较去年高出2%，但这还不够多，PricewaterCoopers首席顾问Mark Lobel说，具有CxO层级的安全主管及发展出下述的资安策略。这两项元素越高，资安事件的发生率越低。

    但是不值得令人兴奋的分数却在今年攀高。（请见后面“全球信息安全状况”数据）例如，56%的受访者聘雇了CxO层级的安全主管，比去年下滑4%。许多企业都会检查网络log看看有无可疑活动，但只有43%的人会稽核或监控使用者有没有遵循安全政策（如果有的话）。这个数字比2007年上升6%，但“还不到应有的水平。”Lobel说。

    由此可知，安全仍然是被动而非主动的事情。做得更进阶的公司则会收集来自网络log和其他监控系统的数据，统合到商业智能系统中，以便预测出安全弱点进而加以阻止。配合加密高手与认证管理专家，资安小组还需要统计学和风险分析师，以便跑在安全威胁之前，不让自己公司成为资安新闻的主角。

    虽然我们的研究显示“革命尚未成功”，但在发现问题之际，我们也看到一条企业通往资料安全之路，没错，还是要应用技术，同时发展一个让资安技术融入所有人工作环境的流程。所以并不是完全没有希望。现在该做的是检讨我们哪里做错了，然后改过自新。

    大方向：技术至上

    有钱就有力量，是吧？在被要求指出信息安全经费的来源时，57%受访者说是IT部门，60%表示，像是营销、人力资源和法务部门等功能部门是他们的大金主。只有24%的人说公司有专属的安全部门预算。

    有了强大的IT部门，技术乃成为解决安全问题的主要方案。然而俗话说得好，”对一个拿槌子的人来说，什么东西都长得像钉子。”于是他们想用垃圾邮件过滤器来防堵网站钓鱼攻击，藉由加密公司资料阻绝笔电偷窃的发生。

    如果真的有安全工具，我们的调查对象早就用上了。

    例如，企业已经了解到，他们淘汰计算机硬件的过程必须更完善，像是清除掉硬盘里的数据和应用。目前已经用工具这么做的受访者有65%，比去年58%大为增加。为数据库（55%）、笔电（50%）和备份磁带（47%）及其他媒体进行加密的企业也比以前都多。使用入侵检测软件的比例也攀高：相较去年的59%，今年来到63%。安装防火墙防护个别应用，而不只是服务器或整个网络的比例，则从去年的62%增加到67%。

    虽然在技术层面有所进展，但在安全流程与人员方面仍然存在隐忧—某些购买安全防护的IT预算案仍然遭到否决。例如，加密机密数据似乎很有效，但此类技术却无法防止员工藐视数据处理的公司政策。

    如果你的目标是确保信息，你最好能发展流程和程序，以便能将把钉子置于正确地点，再挥动槌子敲下。Brandeis大学CSO Dennis Devlin指出，技术需要涵括在更大范围的信息安全计划下。Devlin向Brandeis大学副总裁，以及图书馆与信息技术院长报告。

    犯罪活动已成为如何部署信息安全的重心了。为Wi-Fi上锁以免让坏蛋侵入（TJX，听到没？）但好人做出坏决策，更会为我们带来无数安全灾难，Devlin说。他去年加入Brandeis以来，以及他担任CSO 7年之久的Thomson Corp.（现在称Thomson Reuters）时都看过这类情事。

    例如，员工有时着了网钓邮件的道，开启了附件，那将会把纪录密码的键盘侧录程序，以及会取得操作系统控管权的rookit等恶意软件散布出来。Devlin表示，资安经理的工作是教导使用者自我防卫。不是要员工注意带有特定主旨的最新邮件，而是更广泛的事物，教导使用者认识点下一个不熟悉的URL、开启附件，或者将社会安全号码告诉网络上任何一人时所蕴含的风险，他说。

    “想用技术来保护任何人不受到任何安全风险威胁是不可能的。”他说：”我们的工作，是把我们的思维传达给使用者。”如同Brandeis，似乎有越来越多企业正在努力这么做。今年调查中有54%的受访者指出有提供员工信息安全课程，比去年42%增加不少。

    但还是有很大的改善空间。受访者中要求员工接受公司隐私政策和规范的训练只有41%，只比去年的37%稍稍进步。43%的企业，连在内部网站上张贴隐私政策这么简单的动作都没有。此外，许多公司的教育训练内容，充其量只提供一种安全表象，即遵循政府或产业规范。

    安全名单

    医疗资料相关的健康保险可移植性与责任法案（Health Insurance Portability and Accountability Act, HIPAA），财务数据相关的沙宾法案，或是和信用卡数据相关的支付卡产业标准（Payment Card Industry standard）仍将是企业主管强化资安的重要推手。罚款和吃牢饭的威胁”功不可没”。例如，和去年的40%相较，44%的受访企业表示，只要有法律或产业规范的地方，他们就会小心检查；43%说他们会监督使用者有没有遵循安全政策，和去年的37%相比有长足进展。稽核内部遵循风险者高达55%，去年为49%。

    但我们切忌高兴得太早。虽然成绩有所进步，但距离100%还远着呢。许多公司仅仅照章行事—而且还疏忽了基本安全把关动作，曾任微软CSO与AT&T CISO与IT风险管理副总裁，现任W Risk Group主席的Karen Worstell说。

    遵循法规和标准不见得保证就有完善的安全政策，Worstell说，原因有很多。其一，企业可能只制订了政策而不说明如何执行，但一样可以通过遵循稽核。另外，标准其实也有漏洞。

    例如PCI要求企业必须安装防火墙来保护持卡人的数据。但Worstell指出，该标准仍然无法解决企业在安装了防火墙之后，是不是具有流程确保它是不是定期更新或监控其执行效率的问题。”信息安全仅符合PCI是不够的。”她说。Hannford超市在2007年12月到2008年3月之间就发生客户信用卡被窃情事，该公司那时已经取得”信用卡产业最高安全标准”─PCI符合认证。

    而如果贵公司监控安全的范围仅及自家防火墙内，这也是不够的。但这正是现今企业的状况。今年度的调查发现到，企业并不知道，显然也不是很想知道，数据交给其他公司后会发生什么事，所以请做好鸡飞狗跳的心理准备。