成功人士之所以成功,关键之一在于其拥有正确的价值观和信念,眼界决定世界。信息安全工作也是如此,安全人员所持有的观念将影响实际的防护效果。安全建设,观念先行。那么究竟怎样的安全观才是正确的呢?就此话题,记者采访到了知名信息防泄露系统IP-guard的产品总监黄凯,黄凯是国内最早从事信息安全研究的专家之一,他不仅带领团队研发了IP-guard,还主导丰益集团(金龙鱼)、奔驰汽车等国际知名企业信息防泄露体系建设等项目,拥有扎实的理论知识和丰富的实践经验。
黄凯认为一名IT安全管理人员必须持有的安全观至少有4点,***点是信息安全的“价值”观,他引用了这样一句话来阐述“信息安全是一种生产要素”。
经济学上对生产要素的定义是社会进行生产经营活动过程中必须具备的基本因素。 “信息是一种生产要素”毋庸置疑,而信息安全是一种生产要素也并非言过其实。
动辄关乎存亡
首先信息安全事件的后果往往十分惊人,小则伤筋动骨,大则直接致命。世界上***的能源、天然气及电讯公司之一安然公司因财务信息造假,一夜之间便坠落到毁灭的深渊,萨班斯法案也由此催生。
IP-guard黄凯分析,一般而言,信息安全事件可使企业遭受三方面的损失:
一是核心命脉的损失。比如对于软件研发公司、设计公司等,源代码、设计作品等是企业的核心竞争力,信息安全事故对于它们而言往往是致命性的冲击。比如以珠宝设计见长的国内某知名珠宝公司,由于在大型珠宝展览前设计图纸泄露,导致李鬼与李逵一同出现在该场展会,独家变双份,竞争优势大打折扣。
二是社会名誉损失,企业发生信息安全事件,不仅暴露出其在安全管理上的弊端,使得消费者对其产生质疑和不信任,更严重的是,这种不信任感会蔓延到各个方面,最终对其品牌形象和品牌忠诚度造成伤害。如今年3.15晚会上曝光招商银行、工商银行内部员工通过中介机构兜售用户个人信息的黑幕,令消费者心寒不已。
三是财产损失,信息本身就是价值不菲的宝贝,信息破坏或者信息失窃直接代表着财产流失,在最近爆出的英特尔前员工信息盗窃案中,英特尔的损失近10亿美元。
静则危机四伏
其次企业的信息资产属于无形资产,其虚拟性使得企业无法像对其它实体资产一样对其进行秘密仓储或实时看守。同时企业信息面临的环境相对于实体要更加复杂,风险更大,因此也更难以防范,并且随着信息技术的发展,这种危险的局势将愈来愈明显。“信息安全,可以说是战战兢兢,如履薄冰,不是滴水不漏,可能就是满盘皆输。”IP-guard黄凯感叹道。
信息安全之重要今非昔比。IP-guard黄凯强调,信息安全对于现代企业的作用越来越独立,其重要性与人力资源、生产资料、管理、技术等生产要素相比,已越来越趋于平衡。
虽然企业的安全意识越来越高,但企业目前的安全投入远远没有满足现实的需求。据统计,每年全球因安全问题导致的网络损失已经可以用万亿美元的数量级来计算,我国也有数百亿美元的经济损失,然而安全方面的投入却不超过几十亿美元。而在CSDN泄密门发生后,据一家券商TMT研究部门的调研数据,目前中国互联网企业的信息安全预算,在整体预算中的比例不到1%,欧美的比例是8%~10%。
说到安全,相信没有人会否定其重要性,但是安全投入普遍偏低,原因何在?其中一个重要的原因,是许多人认为安全只是业务的支撑,是一件只投入没回报的事情。事实上信息安全作为一种生产要素,是有回报价值的。根据经济学上的投资与回报曲线(如图1),在一定程度内,安全投入越多,回报就越多;但过了临界值,收益会随着成本的增加而降低,即边际收益降低。
然而,目前的现实是,各行业在安全方面的投入普遍偏低,距离临界点尚有较大距离,现阶段安全投入可以为企业带来更多的回报,可力行之。