金融危機來臨 企業CIO如何保護IT安全？

金融危機來臨 企業CIO如何保護IT安全？

金融危機和經濟低迷使得CIO不得不勒緊褲腰帶，公司因此削減成本將成爲非常現實的措施。許多CIO透露其公司近期也正考慮調整一些IT項目，將有限的預算資金重新調配。

金融危機和經濟低迷使得CIO不得不勒緊褲腰帶，公司因此削減成本將成爲非常現實的措施。許多CIO透露其公司近期也正考慮調整一些IT項目，將有限的預算資金重新調配。

　　但是一項調查顯示，大多數公司CIO還是希望在IT安全上的投入能夠有所增長或者至少在IT安全投入上能夠保持不變。該調查還發現，IT安全問題越來越受企業重視，與IT安全相關的決策都會往上呈報給更高主管，說明對多數企業而言，IT安全已不只是IT部門的事情。

　　一.經濟低迷，CIO面臨削減IT預算壓力

　　目前，世界經濟體都在經歷經濟滑坡，企業正在尋求削減開支、改善收支狀況的良方。因此在經濟低迷的時候，一個大的挑戰就是要用更少的成本做更多的事情，力求用好每一分錢的預算。雖然IT安全預算在企業的總成本基數中所佔的比例通常較小，但企業高管們仍不可避免地會將他們的注意力轉向IT安全預算，要求CIO對其進行大幅削減。

　　企業IT安全風險產生的成本可分成兩種：一是“硬錢成本”(Hard-dollar costs)，主要衡量實際現金損失以及IT人員投入修復的時間與資源;二是“軟錢成本”(Soft-dollar cost)，包括開會、生產效率、溝通關係以及商機消失等間接損害。對企業來說，IT安全問題不只是不被******，還包括對重要資料的妥善保管。在一般情況下，IT安全投資通常是保障企業的正常運營的工具，其效益可遠遠超過按慣例削減IT成本所能節省的資金。

　　簡單的說，IT安全說穿了就是消弭公司的風險。因此在最糟糕的經濟環境下希望削減IT安全預算時，應該要問這樣的一個問題：在經濟低迷時公司的IT安全風險會降低嗎?實際上，當經濟低迷的時候，企業的信息安全的狀況也不太好，而且更不幸的是IT安全問題反而劇增。

　　此次由CIO參與的名爲“IT安全：如何在經濟低迷時保護生產力”的調查顯示，隨着經濟下滑規模不斷擴大，企業受到的IT安全威脅也越來越嚴重，而且造成的損害後果也越來越大，信息安全的緊迫性日益凸現。所以，在經濟下滑時停止IT安全投資可能效果適得其反。因此，經濟低迷時IT安全管理，不能只是簡單削減成本，IT安全問題已經成爲制約企業渡過經濟危機的關鍵問題之一。

　　二.爲什麼IT安全風險隨經濟下滑反向劇增?

　　(1)IT安全風險如影隨形

　　統計數據表明，IT安全風險隨經濟下滑反向劇增，涉及IT信息的違法犯罪活動會不斷攀升，***的***手法更是花樣翻新。IT系統由多種設備、設施構成，因此其面臨的威脅是多方面的。總體而言，這些威脅可以歸結爲三大類：一是對IT設備的威脅;二是對業務處理過程的威脅;三是對數據的威脅。要加強IT系統的安全防範，就要研究上述威脅，查清影響IT安全的因素。

　　這些因素有哪些呢?①是IT系統軟硬件的內在缺陷。這些缺陷不僅直接造成系統故障，還會爲一些人爲的惡意***提供機會。最典型的如微軟的操作系統設計缺陷，一些病毒、***盯住其破綻興風作浪。②是惡意***。***的種類有多種，有的是對硬件設施的干擾或破壞，有的是對數據的***，有的是對應用的***。嚴重時可導致硬件永久性故障或損壞;對數據的***也可破壞數據的有效性和完整性，或可能導致敏感數據的泄漏、濫用;對應用的***則會導致系統運行異常甚至中斷。③是使用不當，如誤操作。這類使用不當會導致系統安全性能下降甚至系統異常也經常發生。

　　(2)經濟低迷時，高價值數據外泄危機更是頻繁

　　在2008年《IT 風險管理研究報告》中一項調查結果引人注意，那就是58%的受訪者表示在近期發生過一次重大IT安全數據外泄事件。之所以形成這樣的趨勢，很重要的一個原因就是經濟犯罪色彩越來越濃。現在以盈利爲目的的IT安全***目標已不再是基礎架構(如軟/硬件和網絡設備)，而是以運營在基礎架構上的數據信息爲目標，它造成的現實損失是一些關鍵信息被破壞或者是被泄露出去，這種損失對大多數企業來說更難以承受，。

　　(3)垃圾郵件造成經濟損失成IT安全最大威脅

　　據不完全統計，***轉讓此類垃圾郵件的用戶信息每年就能進賬數百萬甚至上千萬元人民幣，而這種病毒和垃圾郵件形成的連鎖垃圾郵件經濟也成了近年垃圾郵件屢禁不止的主要原因之一。垃圾郵件、病毒這兩個“網絡騷擾者”隨便遇上哪一個，都足以讓CIO頭疼不已，而且這類事件還有隨着經濟下滑有進一步加劇的趨勢。

　　(4)內部裁員情緒的成最大IT安全隱患

　　面臨經濟不景時，公司在需要裁員時在IT安全方面的最大挑戰是什麼?根據調查報告顯示，最大的威脅和隱患是用戶情緒不穩定和受到裁員威脅。在公司可能裁員的敏感時期， IT安全的風險也受這個因素的影響而大大增加，這種過渡時期導致的不僅是安全泄露，更嚴重的是可能使到IT系統崩潰。

　　常言道：堡壘總是最易從內部攻破，公司越來越重視IT安全建設，但是都主要在對付外來的***上，而忽略了來自內部的隱患和***。在這個過渡時期，不可避免的是來自以破壞信息完整性或者竊取信息機密爲目標的惡意***呈飛速增長之勢。無論員工是因爲不滿，還是隻是感覺沒有人看到，我們經常看到當企業可能裁員的情況下，代表巨大公司價值的IT信息資產可能首先被錯放或者被竊取，而且很難判定這些信息是否用用於欺騙或者其他的非授權的目的。

　　另外，卡耐基梅隆大學研究表明，那些由內部人員發起的***中，86%的犯罪者都是技術人員。在這些人中55%的人是在離職後進行***的。在前段時間媒體上廣爲報道的一個例子是，某公司用了20名員工花了280小時才修復那些被一個對公司不滿的內部人員刪除的數據。進行***的時候，犯罪者曾經是該公司IT部門的一名職員，他能夠遠程訪問關鍵系統。從報道中我們可以看出，IT內部人員通常擁有對關鍵系統的訪問權，即使在離職之後，他們也可以是用特別的帳戶和密碼訪問這些系統。

　　因此，IT部門和人力資源部必須瞭解可能導致IT安全失誤的事件，離職員工和公司管理人員必須明確瞭解哪些信息離職人員可以帶走，哪些必須交接和保密。公司必須慎重管理、防禦信息泄露和安全問題。其實，不單單隻有裁員的公司面臨這種困境，許多公司的在正常的內部管理也面臨同樣的難題。CIO要明白到當今IT安全最大的威脅其實是源自很小的事情，但這些事情往往被忽視了。

　　

三.經濟低迷時，CIO如何應對IT安全風險?

　　IT安全威脅的種類包括網絡***、***、惡意代碼，CIO必須一馬當先，帶領部下建立堅固的IT安全環境，以減少IT犯罪分子***得手的可能性，降低損失程度。一提起企業IT安全，我們最先想到的是防火牆、防病毒、***檢測、數據加密等獨立的安全產品。但是IT安全不止這些，授權、認證與管理比單個安全軟件產品更重要，IT安全應該有完整的策略。

　　因此，CIO應該把IT安全看作是一種公司運營層面而不是技術層面上的挑戰。它類似於傳統的質量保證項目，主要是防患於未然而不是等待問題出現之後再去解決，並且要求所有員工的親身參與而不僅僅侷限於IT人員。最終的目標也不是讓IT系統變得無懈可擊，因爲這根本不可能做到，而是把由此帶來的商業風險降低到可以接受的程度。

　　(1)IT安全策略

　　企業IT安全問題自始至終都是一個比較棘手的事情，它既有硬件的問題，也有軟件的問題，但最終還是人的問題。在對企業IT安全策略的規劃、設計、實施與維護過程中，必須對保護數據信息所需的安全級別有一個較透徹的理解。

　　策略要能對某個安全主題進行描繪，探討其必要性和重要性，解釋清楚什麼該做什麼不該做。安全策略應該簡明，在生產效率和安全之間有一個好的平衡點，易於實現、易於理解。安全策略必須遵循三個基本概念：確定性、完整性和有效性。另外，安全策略不能忽略小的方面而影響整體的安全。這包括對設備、數據、e-mail、Internet等的可接受的使用策略。

　　(2)進行安全分析

　　這是一個經常被忽略的工作步驟，同時也是IT安全策略制訂工作中的一個重要步驟。這個步驟的主要目標是確定需要進行保護的信息資產及其對公司的絕對和相對價值，在決定保護措施的時候要參照這一步驟所獲得的信息。考慮的關鍵問題包括需要保護什麼，需要防範哪些威脅，受到***的可能性，在***發生時可能造成的損失，能夠採取什麼防範措施，防範措施的成本和效果評估等等。

　　公司的安全分析檢查重點應是看***是否容易、哪些系統或程序易受***，通過制訂完善的操作計劃，令***悻然離去。例如，堅持使用安全的軟件，公司如果是使用外部供應商的軟件，應當時時跟蹤軟件的版本與修訂情況，及時更新補丁;如果是自行開發軟件，則必須確保開發人員遵守安全的編碼與測試規則，減少軟件漏洞不讓***有機可乘。

　　(3)監控高風險用戶和角色

　　有時公司需要積極地監視某些角色，特別是這些角色對企業會造成極高的風險，企業要監視以便發現其潛在的“不可接受”的行爲。例如一位採購經理爲謀求一個職位可能會將自己能夠訪問的敏感數據帶到另外一家競爭公司那裏去。這種情況下，其訪問是被授權的，不過卻應該監視其是否存在着濫用的情況。崗位、職責的輪換以及設定任命時間也是對付高風險的一個重要方案。另外，注意的是IT安全專家通常也屬於高風險角色的範圍。

　　(4)加強用戶教育

　　對用戶而言，像網頁釣魚和捕鯨(把公司高官選作下手目標的電子郵件欺騙手法)這些有針對性的***讓人擔心，因爲這些***會利用用戶沒有及時接受公司教育方面的漏洞。網絡訪問控制和安全信息管理等技術有助於保護IT安全，但幫助非常有限。隨着***變得更加狡猾，用戶教育成了惟一選擇。

　　人們普遍認爲，IT安全是IT部門的事情，其實這並不符合實際情況。用戶纔是IT安全的最大威脅，因爲大多數用戶對其行爲的危險性不以爲然。因爲無論對用戶進行多少次的安全知識培訓，用戶總是禁不住各種病毒附件的“誘惑”，或爲了獲取瀏覽速度，不惜關閉防火牆。IT安全問題人人有責、責無旁貸。讓人遺憾的是許多情況是當出現IT安全問題後，IT主管總是被動應付，只能採取補救措施。實際上，IT安全責任存在於公司的各部門，應該要做到防微杜漸，以小見大。

　　(5)災難恢復

　　墨菲定理說，會出錯的事總會出錯，如果你擔心某種情況發生,那麼它就更有可能發生。這個定理用到IT安全上，就是“再穩健的IT安全也會出問題。”這時候，我們老祖宗的那句話就派上了用場：凡事予則立，不予則廢。CIO應趁着系統還在運行的時候，制定一個災難恢復計劃，將災難帶來的損失降低到最小，這也許是IT安全保障的最後一個策略。

　　(6)IT安全演習

　　最後一點，當安全系統被攻破，危急時刻要迅速抉擇難免有誤。因此，平時建立應急預案，演習危機處理流程非常有必要。