以下的文章主要向大家讲述的是全球信息安全领域的几个大的现象大汇总,问问2008年8月因透过不安全的Wi-Fi入侵TJX等零售店而遭到起诉的11名黑客,便知─当时有4,000万笔信用卡与现金卡卡号被窃。
问问EDS承包Medicaid理赔处理专员:今年2月她承认犯下盗卖客户社会安全号码与生日数据,以冒领退税金。
问问犹他州大学医院聘雇来护送磁带到异地储存中心的快递人员。6月的某一天,他开了自己的车,而非公司的安保车来,结果这批包含2,200万名病患账单资料从前座被偷。
量化安全项目的报酬率并不容易,通常因为很难算出你从避免的危机中,可获得多少金钱报偿。今年低迷的经济,迫使决策者对任何预算提案都更加保守。即使如此,调查结果显示,企业还是继续购买、导入技术工具,包括入侵检测软件、加密和身份管理等。这倒是好消息。
然而我们研究又发现一个很严重的问题—太多企业仍然欠缺强制执行的一致化、尖端的安全流程。59%的受访者说他们有“全面性的安全策略”,PricewaterCoopers首席顾问Mark Lobel说,具有CxO层级的安全主管及发展出下述的安全策略。这两项元素越高,安全事件的发生率越低。
但是不值得令人兴奋的分数却在今年攀高。例如,56%的受访者聘请了CxO层级的安全主管,比去年下滑4%。许多企业都会检查网络log看看有无可疑活动,但只有43%的人会稽核或监控使用者有没有遵循安全政策。这个数字比2007年上升6%,但“还不到应有的水平。”Lobel说。
由此可知,安全仍然是被动而非主动的事情。做得更进步的公司则会收集来自网络log和其它监控系统的数据,统合到商业智能系统中,以便预测出安全弱点进而加以阻止。配合加密高手与认证管理专家,安全小组还需要统计学和风险分析师,以便跑在安全威胁之前,不让自己公司成为安全新闻的主角。
虽然我们的研究显示“革命尚未成功”,但在发现问题之际,我们也看到一条企业通往资料安全之路,没错,还是要应用技术,同时发展一个让安全技术融入所有人工作环境的流程。所以并不是完全没有希望。现在该做的是检讨我们哪里做错了,然后改过自新。
大方向:技术至上
有钱就有力量?在被要求指出信息安全经费的来源时,57%受访者说是IT部门,60%表示,像是营销、人力资源和法务部门等功能部门是他们的大金主。只有24%的人说公司有专属的安全部门预算。
有了强大的IT部门,技术乃成为解决安全问题的主要方案。然而俗话说得好,“对一个拿槌子的人来说,什么东西都长得像钉子。”于是他们想用垃圾邮件过滤器来防堵网站钓鱼攻击,藉由加密公司资料阻绝笔记本电脑偷窃的发生。
如果真的有安全工具,我们的调查对象早就用上了。
例如,企业已经了解到,他们淘汰计算机硬件的过程必须更完善,像是清除掉硬盘里的数据和应用。目前已经用工具这么做的受访者有65%。为数据库 (55%)、笔电(50%)和备份磁带(47%)及其它媒体进行加密的企业也比以前都多。使用入侵检测软件的比例也攀高:相较去年的59%,今年来到63%。安装防火墙防护个别应用,而不只是服务器或整个网络的比例,则从去年的62%增加到67%。
虽然在技术层面有所进展,但在安全流程与人员方面仍然存在隐忧—-某些购买安全防护的IT预算案仍然遭到否决。例如,加密机密数据似乎很有效,但此类技术却无法防止员工藐视数据处理的公司政策。
犯罪活动已成为如何部署信息安全的重心了。为Wi-Fi上锁以免让坏蛋侵入,但好人做出坏决策,更会为我们带来无数安全灾难。
例如,员工有时着了网钓邮件的道,开启了附件,那将会把纪录密码的键盘侧录程序,以及会取得操作系统控管权的rookit等恶意软件散布出来。安全经理的工作是教导使用者自我防卫。不是要员工注意带有特定主旨的最新邮件,而是更广泛的事物,教导使用者认识点下一个不熟悉的URL、开启附件,或者将社会安全号码告诉网络上任何一人时所蕴含的风险。
“想用技术来保护任何人不受到任何安全风险威胁是不可能的。我们的工作,是把我们的思维传达给使用者。”如同Brandeis,似乎有越来越多企业正在努力这么做。今年调查中有54%的受访者指出有提供员工信息安全课程,比去年42%增加不少。#p#
安全名单
医疗资料相关的健康保险可移植性与责任法案(Health Insurance Portability and Accountability Act, HIPAA),财务数据相关的沙宾法案,或是和信用卡数据相关的支付卡产业标准(Payment Card Industry standard)仍将是企业主管强化安全的重要推手。罚款和吃牢饭的威胁“功不可没”。例如,和去年的40%相较,44%的受访企业表示,只要有法律或产业规范的地方,他们就会小心检查;43%说他们会监督使用者有没有遵循安全政策,和去年的37%相比有长足进展。稽核内部遵循风险者高达55%,去年为 49%。
但我们切忌高兴得太早。虽然成绩有所进步,但距离100%还远着呢。许多公司仅仅照章行事—而且还疏忽了基本安全把关动作,曾任微软CSO与AT&T CISO与IT风险管理副总裁,现任W Risk Group主席的Karen Worstell说。
遵循法规和标准不见得保证就有完善的安全政策,Worstell说,原因有很多。其一,企业可能只制订了政策而不说明如何执行,但一样可以通过遵循稽核。另外,标准其实也有漏洞。
例如PCI要求企业必须安装防火墙来保护持卡人的数据。但Worstell指出,该标准仍然无法解决企业在安装了防火墙之后,是不是具有流程确保它是不是定期更新或监控其执行效率的问题。“信息安全仅符合PCI是不够的。”她说。Hannford超市在2007年12月到2008年3月之间就发生客户信用卡被窃情事,该公司那时已经取得“信用卡产业最高安全标准”─PCI符合认证。
而如果贵公司监控安全的范围仅及自家防火墙内,这也是不够的。但这正是现今企业的状况。今年度的调查发现到,企业并不知道,显然也不是很想知道,数据交给其它公司后会发生什么事,所以请做好鸡飞狗跳的心理准备。
业务外包,安全抛到九霄云外
今年调查最令人担忧的一点是:只有22%的受访者,会将使用公司数据的所有外部公司记录下来。
如果这点还不足以让你打冷颤,我们还有别的数据。调查中只有37%的受访者,有要求持有他们客户或员工个人资料的第三方公司,遵循他们的隐私政策。对了解第三方公司进行审查,以了解他们如何或是有没有数据防护措施的比例就更少了—只有28%。然而却有75%的受访者表示,对合作伙伴的安全效率具有信心。这不是太天真了吗?
随着企业开始将各种工作外包出去,对任何处理公司资料的外部业者进行审查,也就变得空前重要了,专精于商业机密防护的业界分析机构Security Constructs执行总监Tom Bowers说。在这方面,药厂的经验可作为其它产业殷鉴,他说。
Bowers加入Security Constructs之前曾在惠氏大药厂(Wyeth Pharmaceuticals)担任全球信息安全营运部门资深经理长达7年之久。Bowers的安全小组就必须对惠氏药厂的合作伙伴仔细检查安全措施。他们也不得不。“我们有责任保护智慧财产,不论它位于何处。不论是在我们公司,还是在都柏林的外包临床试验公司,或是其它不知名的地方,一处也不能漏。”
Shaklee CIO Ken Harris指出,所有企业都必须确定,外包厂商的安全水平和他们一样高—甚至更高。“你怎么检验自家的安全与灾难回复机制,你就那样检验你的外包厂商。”他补充说:“这都是要花时间花资源去做的。”
然而企业却因为成本或时间花费而省略安全检验,PwC的Lobel说。检验合作伙伴的安全和隐私措施,最少得用上一名全职员工两天时间来检查最小型的公司,他估算。“而一家大型公司一般的伙伴有上千家。”他说。
不只防护系统,更要防护信息
一个地方只要存有信息,安全经理就得时时牵肠挂肚。在我们调查中,过去一年发生过1~49件安全事件的公司有38%;而另外35%的经理不知道公司是不是有被攻击过。这和去年结果相去不远。
在这些曾经受害的受访者中,有39%是透过服务器或防火墙log发现,37%是安装了入侵侦测或入侵防御系统。但也有很大一部份 ─36%─表示,是同事告诉他们的。这些数据反映出一个千古不变的道理,就是想建构良好的信息安全环境,人的重要性不亚于技术。这再度证明定期员工训练的重要性。
灌输员工数据防护与完整的责任观念,是确保公司免于安全威胁最好方法,大陆航空CISO Tim Stanley说。
Stanley将公司的所有档案依据3种变项来分类:所有人、商业价值和风险层次。政府有“绝对机密”、“极机密”、“机密”3种等级,但大陆航空要求的更细,更灵活,分成层次和子层次。该公司会这么想,使得它比其它公司走得都要前面。只有24%的人表示,公司信息政策包含根据数据的商业价值来分类。虽然有68%根据风险程度来分类,但有30%从来没有执行过。
此类项目的复杂性,说明了为什么比例这么低的原因。Lobel说:“这个项目要做很多工作,除非有法令规定,否则许多人不可能投入。”
Stanley预计一个项目得花3~4年。“任何和飞机飞上天,以及和钱相关的数据都算第一层。”她解释。这包含机组人员排程、货机和油料需求,以及信用卡处理数据。第二层或第三层也很重要,不过是非关飞行的信息,例如让员工存取退休年金账户相关数据。
安全技术和程序必须和数据所有人定义的数据风险和层级相对应。层级一可能要求一天两次备份及双因素认证。“我可以依据数据的价值来投入适当的资源,并因此帮公司省下钱。”他说:“不用再花10元来保护价值仅5元的数据。”CEO听到这番话一定很高兴。
【编辑推荐】