2006信息安全在黑暗中起舞 法规有待加强
来源:计世网 更新时间:2012-04-13

 

  计世网 最近,由CIO, CSO和普华永道联合调查的《2006年全球信息安全状况》报告新鲜出炉。在安全事故频发的情况下,全球信息安全状况显然不容乐观。

  这个同类中规模最大的调查报告透露,全球信息经理(对于安全行业仍属比较新的职位)正在学习和改进,但仍很容易做出充满风险的行为,甚至可能造成灾难性的后果。
 
 
 

  调查报告指出,尽管改进的速度比前几年要缓慢,但各行各业、私营和公共机构中越来越多的经理(CEO、CFO、CIO、CSO以及IT与信息安全副总裁和经理)继续增加对部署信息安全政策和技术的投资,他们变得在财务上更加独立,一些安全预算以两位数的速度增长。

  但大多数肩负安全责任的经理在执行战略安全措施中进展很小或没有进展,50个国家的近8000个受访者中,只有17%说他们制定了总体安全战略,并且他们计划更多地将重点放在战术性措施而非战略计划上。

  更难忽视的是,接连不断的大机构丢失了保存着未加密的数百万客户个人数据的便携机。在海湾地区的卡特里娜飓风之后,绝大多数公司仍没有制定业务连续性或灾难恢复计划。而且,很大比例的安全经理承认他们没有遵守安全法规。

  专业从事安全领域工作的普华永道咨询合伙人Mark Lobel说,信息安全行业仍受到为安全找出商业价值的困扰,安全性仍被视为一种花费,而非某种可以增加战略价值并因此转换为收入的东西。

  不过,如果有人深入剖析调查结果的话,就会找到值得乐观的理由。有证据显示,遵从安全法规的企业更可能将安全性与他们的企业的业务战略和流程相集成,将减少被成功攻击的次数和造成的财务损失。

  正在成长,但速度缓慢

  调查显示,至少在某些领域,数量更多的公司开始从战略角度考虑安全问题,使安全目标与业务目标相适应。以往年报告最明显的是变化是,集成物理安全(给便携机上锁等)和信息安全的公司比例在迅速增加,由2003年的29%增加到2006年的75%。

  要想寻找背后的原因也不难,只需阅读有关保存秘密客户信息的便携机丢失和被盗的报道,或问一问美国退役军人事务部和AIG(都曾卷入到今年春天引起广泛关注的被盗便携机案)即可。物理安全和信息安全组合在一起,便携机丢失数据的可能性就很小。如果便携机丢失或被盗,物理安全与信息安全的组合让获得数据变得不那么容易。Sony Pictures Entertainment公司信息安全执行主管Jason Spaltro说:“在现在基于IP的控制设备、摄像机和其他安全传感器的环境中,物理安全变得越来越属于IT问题。”

  而且本次报告显示,把安全政策和花费与他们的业务流程相结合的企业遭遇的财务损失和网络停机时间要少于没有做到这点的企业。

  随着安全功能日益聚合和集成,安全预算也随之增加。近一半的受访者表示,他们今年的预算增加,其中1/5以上的人说增长率将达到两位数,比整体IT预算更快,更多的安全经理也在得到更多的财务自主权。这表明,安全负责人被赋予更多的责任,而这是提高安全在企业中战略地位的关键因素。

  不过,全球绝大多数的公司(近64%)仍没有设立像首席安全官或首席信息安全官这样的安全职位。

  战略差距

  当某个人认为他没有掌握作为决策依据的足够信息、没有所需要的充足的资源或被被排斥在规划过程之外,他该做什么?一般来说,他会求助于他最了解的东西。对于信息安全经理来说,这意味着关注技术,而不是战略。

  也许并非巧合,今年经理们开始远离更战略性的安全实践,投向更传统的技术实践(与去年的调查结果相比)。从总体上看,2006年安全待办事项清单上的前12个条目中,7个条目可以被描述为技术措施,其中5项包括一些更日常的和容易的安全措施,如数据备份、网络防火墙、应用防火墙和设置用户口令。

  今年,开发业务连续性和灾难恢复计划的排名由2005年的第1位下降为今年的第4位。鉴于卡特里娜飓风给人们敲响了这类计划重要性的警钟,这是个令人吃惊的结果。

  去年的报告曾预测,IP保护将随着引起广泛关注的身份偷窃事件而大幅增长,但这没有变为现实。IP保护甚至没能进入2006年待办事项清单上的前10名。甚至一些更简单、费用不太高的战略安全实践的排名也下降了。进行雇员安全意识培训从优先重点工作清单上的第2位下降为并列第10名。

  令人吃惊的是,制定总体信息安全战略(去年排在待办事项清单第4位),竟然没有进入2006年的待办事项清单。

  究竟发生了什么?为什么制定安全战略计划变得多余。一种答案是,在一种信息真空环境中(信息安全经理们表示,他们不知道自己的预算、攻击来自何处,他们到哪儿去寻找掌握他们需要的技能的人),短期解决方案似乎比长期解决方案更为谨慎。Sony Pictures Entertainment公司信息安全执行主管Jason Spaltro提出了一个更基本的理由——信息安全经理和他们的上司之间沟通有困难。Spaltro说:“我通常与经理会面的开场白就是,提醒经理们注意安全是一种业务决定。我们所做的一切,从加密到信息分类,都是企业为保护其资产而做出的决定,而我不能控制这种决定。我的作用是在技术与他们面临的风险之间发挥桥梁的作用,帮助他们做出决定,但最终实际上是他们告诉我去做什么。”

  信息安全若想变得更有效,使技术流程与企业的战略计划相适应至关重要。普华永道咨询合伙人Mark Lobel说,使安全成为战略计划组成部分的公司,遭遇更少的安全违规、更小的财务损失和最少的网络停机时间。

  法规遵守有待加强

  如去年一样,比例高得惊人的受访者承认,他们没有遵从信息安全法律和管理他们所在行业的法规。

  这些法律法规包括已经实施很多年的重要的法规。必须遵从HIPAA(一项要求医疗保健机构保护患者信息达8年之久的法律)法规的一些企业的安全经理承认,自己的企业并没有遵守。不遵从在各行各业普遍存在,对适用法律的忽视是一个重要因素。

  近1/5的美国受访者说,他们应当但没有遵守加州的2002安全违规事件处理法。根据这项法规的要求,如果未经授权的人员访问了公司保存的个人信息(如信用卡号),公司就应当通知他们。但是,所有美国受访者中,只有22%的人说这项法律适用于他们。

  同样,超过1/3的美国受访者表示,他们没有遵从塞班斯法,尽管他们应当遵从,而超过1/7的受访者说他们没有遵从Gramm-Leach-Bliley法(1999年的金融现代化法案,用于控制金融机构处理个人信息的方式,包括财产保密条例、安全措施条例和托辞供应三部分)。这与去年相比略有改进,但鉴于不遵从这些法规所面临的严厉惩罚,很多经理似乎将自己置于吃官司或使自己的企业面临罚款的境地。

  而这并不只是一种美国现象。接受调查的澳大利亚企业中的半数受访者承认,他们没有遵从自己国家的保密法规。近1/3的英国受访者说,他们没有遵从自己国家颁布8年之久的数据保护法,近1/3的传统上遵纪守法的加拿大企业没有遵从他们国家的保密法。

  这种现象的根源在于,缺少强制措施。到目前为止,不遵从法规的成本不如遵从法规的成本高――劳动力、硬件和软件价格。由于缺少惩罚,安全经理不能为遵从性拿出商业理由。华盛顿特区战略与国际研究中心技术及公共保密计划主管Jim Lewis表示,尽管过去一年里发生了引起广泛关注的安全违规和便携机丢失事件,但能够与这些事件直接联系在一起的实际损失和ID偷窃却很少。他说,“人们可能有一种感觉,认为他们不像过去那样容易受到伤害”,因此不遵从法律被认为是低风险的。

  如果安全性要得到改进,安全法律就需要有更有效的执行手段,这也适用于企业自己的法规。Lobel指出,减少网络停机时间的最关键的因素之一是,遵从企业的安全规定,但是这一要求甚至没有进入信息与相关技术控制目标。Lobel建议企业处罚不遵守自己安全政策的行为,但一定要确保惩罚与违规行为符合。Lobel说:“你可能不想解雇将口令字写在便条贴上的人,但是必须要有一定的惩罚。”

  金融行业表现最好

  去年的报告指出金融服务领域是拥有最佳信息安全实践的行业,今年这一行业再一次在信息安全与战略运营集成上领先于其他领域。

  金融服务领域中的公司――银行、保险公司、投资机构――比其他行业更可能雇用CSO。金融服务领域中的安全预算通常是总体IT预算中较大的一块,并且以比其他行业更快的速度增加,这可能是由于金融服务公司

  更可能将安全政策和花费与业务流程联系在一起。这些公司采取主动措施,建立正规的信息安全流程,如日志文件监测和定期的渗透检测,他们雇员中更多的人遵守公司的安全政策。并不让人感到吃惊的是,金融服务公司还部署更多的信息安全技术措施,如入侵检测与加密工具以及身份管理解决方案。

  显然,金融服务企业中制定总体战略安全计划的比例很高。因此,他们报告的财务损失、网络停机时间和被盗保密信息事件的数量比其他任何垂直领域都要少。

  所有这一切的原因也是显而易见的。金融服务行业的产品就是金钱,而金钱是电脑犯罪的首要目标,包括有组织犯罪、内部人员,甚至恐怖分子。保护金钱是这一行业最至关重要的问题。过去几年里,电脑犯罪的数量激增。一位金融业安全经理任何时候都可以向顶级上司证明投资安全技术可以保护和增加股东的价值,他更可能说服董事会进行这种投资以及使安全成为企业的战略组成部分。

  金融服务公司比其他行业中的企业更可能利用ROI(投资回报)来衡量安全投资的效力,并且他们更可能利用对收入的潜在影响为安全投资提供理由。更多的金融服务公司2006年安全预算以两倍数增长,高于其他领域中安全预算的增长幅度。

  法规也发挥了作用。金融行业必须遵守最严格的信息安全法,因此这一行业在遵守战略的信息安全实践上领先于其他行业。

  如果有人认为政府、医疗保健和教育部门在建立战略性安全实践上应当与金融领域不分伯仲。那么,他想错了。据这次调查显示,这些部门尽管担负着保护数千万公民、家长和学生个人信息的责任,但却在遵从最佳战术和战略安全实践上的可能性低于金融行业。政府和医疗保健领域在遵守和建立信息安全政策以及向变得更具战略性方向发展上普遍领先于其他行业,但要落后于金融服务行业。只有42%的政府报告说制定了总体安全战略,而在金融领域中这个数字为56%。

  教育领域在制定、遵守和部署信息安全实践和工具上甚至落后得更远。事实上,与全球一般受访者经历的事件相比,教育领域遇到了更多的负面安全事件(病毒、蠕虫、拒绝服务攻击、身份偷窃、非法进入和违法数据交易)、更多的网络停机时间。而安全性在教育领域中的未来显得并不光明,甚至可以比较容易地预测,教育领域的安全成果在2007将不会有显著改进。

  在黑暗中起舞

  当成功的违规数量很低、财务损失数量可以忽略以及网络停机时间保持在很少时,可以说,你的信息安全战略取得了成功。不幸的是,全球很大比例的安全管理人员并不知道他们的安全计划是否成功,因为他们不知道以上的任何数字。在今年的报告中,近三分之一的受访者承认,他们不知道在自己的机构中发生了多少违规或非授权访问事件。

  这在一定程度上是可以理解的。攻击可能很难识别,并且网络规模可能非常大。但实际上,很大比例的受访者说,他们没有部署最初级的网络安全措施。只有1/3的受访者部署了补丁管理工具等安全措施,不到一半的受访者使用入侵检测软件或监测日志文件,使用入侵防御工具的人甚至更少。令人吃惊的是,超过20%的受访者甚至没有网络防火墙。

  安装防火墙很容易,因此如果大量的受访者甚至连这点都没有做到的话,那么很多人搞不清发生了多少安全事件也就不让人惊讶了。而且,受攻击的次数以及因攻击造成的损失也很难量化。首先,仅仅理解什么构成一次事件就会把人搞糊涂。Sony公司的Spaltro说:“你的计算机上有间谍件算是一次事件吗?一些人可能认为不是,但我们将这当做一次事件。”其次,大多数机构中缺少事件跟踪、记录、建立关联以及逐级上报的制度。表示不知道公司由于受攻击损失了多少钱的受访者的比例很高,今年达到了50%。Lobel问道:“你如何计算知识产权的损失或给企业声誉造成的损害呢?非常聪明的人也很难在确定损失的价值上取得一致。”

  但是,在安全部门可以拿出公司由于不完善的安全措施而遭受损失的可信数字之前,董事会不会满足安全经理要求将更多的钱花在技术投入和增加安全工作人员的请求(在调查中,他们被列为改进安全最需要的资源)。CEO需要了解安全对股东利益的影响。但是,回答这个问题需要一种战略性的总体看法,正如我们已经看到的那样,安全专业人员基本上没有这种总体看法。至少,今年不会没有。