金融危機來臨 企業CIO如何保護IT安全？

金融危機來臨 企業 CIO 如何保護 IT 安全？

金融危機和經濟低迷使得 CIO 不得不勒緊褲腰帶，公司所以削減成本將成爲很是現實的措施。許多 CIO 透露其公司近期也正考慮調整一些 IT 項目，將有限的預算資金從新調配。

金融危機和經濟低迷使得 CIO 不得不勒緊褲腰帶，公司所以削減成本將成爲很是現實的措施。許多 CIO 透露其公司近期也正考慮調整一些 IT 項目，將有限的預算資金從新調配。

　　可是一項調查顯示，大多數公司 CIO 仍是但願在 IT 安全上的投入可以有所增加或者至少在 IT 安全投入上可以保持不變。該調查還發現， IT 安全問題愈來愈受企業重視，與 IT 安全相關的決策都會往上呈報給更高主管，說明對多數企業而言， IT 安全已不僅是 IT 部門的事情。

　　一 . 經濟低迷， CIO 面臨削減 IT 預算壓力

　　目前，世界經濟體都在經歷經濟滑坡，企業正在尋求削減開支、改善收支情況的良方。所以在經濟低迷的時候，一個大的挑戰就是要用更少的成本作更多的事情，力求用好每一分錢的預算。雖然 IT 安全預算在企業的總成本基數中所佔的比例一般較小，但企業高管們仍不可避免地會將他們的注意力轉向 IT 安全預算，要求 CIO 對其進行大幅削減。

　　企業 IT 安全風險產生的成本可分紅兩種：一是 「 硬錢成本 」(Hard-dollar costs) ，主要衡量實際現金損失以及 IT 人員投入修復的時間與資源 ; 二是 「 軟錢成本 」(Soft-dollar cost) ，包括開會、生產效率、溝通關係以及商機消失等間接損害。對企業來講， IT 安全問題不僅是不被******，還包括對重要資料的妥善保管。在通常狀況下， IT 安全投資一般是保障企業的正常運營的工具，其效益可遠遠超過按慣例削減 IT 成本所能節省的資金。

　　簡單的說， IT 安全說穿了就是消弭公司的風險。所以在最糟糕的經濟環境下但願削減 IT 安全預算時，應該要問這樣的一個問題：在經濟低迷時公司的 IT 安全風險會下降嗎 ? 實際上，當經濟低迷的時候，企業的信息安全的情況也不太好，並且更不幸的是 IT 安全問題反而劇增。

　　這次由 CIO 參與的名爲 「IT 安全：如何在經濟低迷時保護生產力 」 的調查顯示，隨着經濟下滑規模不斷擴大，企業受到的 IT 安全威脅也愈來愈嚴重，並且形成的損害後果也愈來愈大，信息安全的緊迫性日益凸現。因此，在經濟下滑時中止 IT 安全投資可能效果拔苗助長。所以，經濟低迷時 IT 安全管理，不能只是簡單削減成本， IT 安全問題已經成爲制約企業渡過經濟危機的關鍵問題之一。

　　二 . 爲何 IT 安全風險隨經濟下滑反向劇增 ?

　　 (1)IT 安全風險如影隨形

　　統計數據代表， IT 安全風險隨經濟下滑反向劇增，涉及 IT 信息的違法犯罪活動會不斷攀升，***的***手法更是花樣翻新。 IT 系統由多種設備、設施構成，所以其面臨的威脅是多方面的。整體而言，這些威脅能夠歸結爲三大類：一是對 IT 設備的威脅 ; 二是對業務處理過程的威脅 ; 三是對數據的威脅。要增強 IT 系統的安全防範，就要研究上述威脅，查清影響 IT 安全的因素。

　　這些因素有哪些呢 ? ①是 IT 系統軟硬件的內在缺陷。這些缺陷不只直接形成系統故障，還會爲一些人爲的惡意***提供機會。最典型的如微軟的操做系統設計缺陷，一些病毒、***盯住其破綻興風做浪。②是惡意***。***的種類有多種，有的是對硬件設施的干擾或破壞，有的是對數據的***，有的是對應用的***。嚴重時可致使硬件永久性故障或損壞 ; 對數據的***也可破壞數據的有效性和完整性，或可能致使敏感數據的泄漏、濫用 ; 對應用的***則會致使系統運行異常甚至中斷。③是使用不當，如誤操做。這類使用不當會致使系統安全性能降低甚至系統異常也常常發生。

　　 (2) 經濟低迷時，高價值數據外泄危機更是頻繁

　　在 2008 年《 IT 風險管理研究報告》中一項調查結果引人注意，那就是 58% 的受訪者表示在近期發生過一次重大 IT 安全數據外泄事件。之因此造成這樣的趨勢，很重要的一個緣由就是經濟犯罪色彩愈來愈濃。如今以盈利爲目的的 IT 安全***目標已再也不是基礎架構 ( 如軟 / 硬件和網絡設備 ) ，而是以運營在基礎架構上的數據信息爲目標，它形成的現實損失是一些關鍵信息被破壞或者是被泄露出去，這種損失對大多數企業來講更難以承受，。

　　 (3) 垃圾郵件形成經濟損失成 IT 安全最大威脅

　　據不徹底統計，***轉讓此類垃圾郵件的用戶信息每一年就能進帳數百萬甚至上千萬元人民幣，而這種病毒和垃圾郵件造成的連鎖垃圾郵件經濟也成了近年垃圾郵件屢禁不止的主要緣由之一。垃圾郵件、病毒這兩個 「 網絡騷擾者 」 隨便趕上哪個，都足以讓 CIO 頭疼不已，並且這類事件還有隨着經濟下滑有進一步加重的趨勢。

　　 (4) 內部裁人情緒的成最大 IT 安全隱患

　　面臨經濟不景時，公司在須要裁人時在 IT 安全方面的最大挑戰是什麼 ? 根據調查報告顯示，最大的威脅和隱患是用戶情緒不穩定和受到裁人威脅。在公司可能裁人的敏感時期， IT 安全的風險也受這個因素的影響而大大增長，這種過渡時期致使的不只是安全泄露，更嚴重的是可能使到 IT 系統崩潰。

　　常言道：堡壘老是最易從內部攻破，公司愈來愈重視 IT 安全建設，可是都主要在對付外來的***上，而忽略了來自內部的隱患和***。在這個過渡時期，不可避免的是來自以破壞信息完整性或者竊取信息機密爲目標的惡意***呈飛速增加之勢。不管員工是由於不滿，仍是隻是感受沒有人看到，咱們常常看到當企業可能裁人的狀況下，表明巨大公司價值的 IT 信息資產可能首先被錯放或者被竊取，並且很難斷定這些信息是否用用於欺騙或者其餘的非受權的目的。

　　另外，卡耐基梅隆大學研究代表，那些由內部人員發起的***中， 86% 的犯罪者都是技術人員。在這些人中 55% 的人是在離職後進行***的。在前段時間媒體上廣爲報道的一個例子是，某公司用了 20 名員工花了 280 小時才修復那些被一個對公司不滿的內部人員刪除的數據。進行***的時候，犯罪者曾經是該公司 IT 部門的一名職員，他可以遠程訪問關鍵系統。從報道中咱們能夠看出， IT 內部人員一般擁有對關鍵系統的訪問權，即便在離職以後，他們也能夠是用特別的賬戶和密碼訪問這些系統。

　　所以， IT 部門和人力資源部必須瞭解可能致使 IT 安全失誤的事件，離職員工和公司管理人員必須明確瞭解哪些信息離職人員能夠帶走，哪些必須交接和保密。公司必須慎重管理、防護信息泄露和安全問題。其實，不僅僅只有裁人的公司面臨這種困境，許多公司的在正常的內部管理也面臨一樣的難題。 CIO 要明白到當今 IT 安全最大的威脅實際上是源自很小的事情，但這些事情每每被忽視了。

　　

三 . 經濟低迷時， CIO 如何應對 IT 安全風險 ?

　　 IT 安全威脅的種類包括網絡***、***、惡意代碼， CIO 必須身先士卒，帶領部下創建堅固的 IT 安全環境，以減小 IT 犯罪分子***得手的可能性，下降損失程度。一提起企業 IT 安全，咱們最早想到的是防火牆、防病毒、***檢測、數據加密等獨立的安全產品。可是 IT 安全不止這些，受權、認證與管理比單個安全軟件產品更重要， IT 安全應該有完整的策略。

　　所以， CIO 應該把 IT 安全看做是一種公司運營層面而不是技術層面上的挑戰。它相似於傳統的質量保證項目，主要是防患於未然而不是等待問題出現以後再去解決，而且要求全部員工的親身參與而不只僅侷限於 IT 人員。最終的目標也不是讓 IT 系統變得無懈可擊，由於這根本不可能作到，而是把由此帶來的商業風險下降到能夠接受的程度。

　　 (1)IT 安全策略

　　企業 IT 安全問題自始至終都是一個比較棘手的事情，它既有硬件的問題，也有軟件的問題，但最終仍是人的問題。在對企業 IT 安全策略的規劃、設計、實施與維護過程當中，必須對保護數據信息所需的安全級別有一個較透徹的理解。

　　策略要能對某個安全主題進行描繪，探討其必要性和重要性，解釋清楚什麼該作什麼不應作。安全策略應該簡明，在生產效率和安全之間有一個好的平衡點，易於實現、易於理解。安全策略必須遵循三個基本概念：肯定性、完整性和有效性。另外，安全策略不能忽略小的方面而影響總體的安全。這包括對設備、數據、 e-mail 、 Internet 等的可接受的使用策略。

　　 (2) 進行安全分析

　　這是一個常常被忽略的工做步驟，同時也是 IT 安全策略制訂工做中的一個重要步驟。這個步驟的主要目標是肯定須要進行保護的信息資產及其對公司的絕對和相對價值，在決定保護措施的時候要參照這一步驟所得到的信息。考慮的關鍵問題包括須要保護什麼，須要防範哪些威脅，受到***的可能性，在***發生時可能形成的損失，可以採起什麼防範措施，防範措施的成本和效果評估等等。

　　公司的安全分析檢查重點應是看***是否容易、哪些系統或程序易受***，經過制訂完善的操做計劃，令***悻然離去。例如，堅持使用安全的軟件，公司若是是使用外部供應商的軟件，應當時時跟蹤軟件的版本與修訂狀況，及時更新補丁 ; 若是是自行開發軟件，則必須確保開發人員遵照安全的編碼與測試規則，減小軟件漏洞不讓***有隙可乘。

　　 (3) 監控高風險用戶和角色

　　有時公司須要積極地監視某些角色，特別是這些角色對企業會形成極高的風險，企業要監視以便發現其潛在的 「 不可接受 」 的行爲。例如一位採購經理爲謀求一個職位可能會將本身可以訪問的敏感數據帶到另一家競爭公司那裏去。這種狀況下，其訪問是被受權的，不過卻應該監視其是否存在着濫用的狀況。崗位、職責的輪換以及設定任命時間也是對付高風險的一個重要方案。另外，注意的是 IT 安全專家一般也屬於高風險角色的範圍。

　　 (4) 增強用戶教育

　　對用戶而言，像網頁釣魚和捕鯨 ( 把公司高官選做下手目標的電子郵件欺騙手法 ) 這些有針對性的***讓人擔憂，由於這些***會利用用戶沒有及時接受公司教育方面的漏洞。網絡訪問控制和安全信息管理等技術有助於保護 IT 安全，但幫助很是有限。隨着***變得更加狡猾，用戶教育成了唯一選擇。

　　人們廣泛認爲， IT 安全是 IT 部門的事情，其實這並不符合實際狀況。用戶纔是 IT 安全的最大威脅，由於大多數用戶對其行爲的危險性不覺得然。由於不管對用戶進行多少次的安全知識培訓，用戶老是禁不住各類病毒附件的 「 誘惑 」 ，或爲了獲取瀏覽速度，不惜關閉防火牆。 IT 安全問題人人有責、義不容辭。讓人遺憾的是許多狀況是當出現 IT 安全問題後， IT 主管老是被動應付，只能採起補救措施。實際上， IT 安全責任存在於公司的各部門，應該要作到防微杜漸，以小見大。

　　 (5) 災難恢復

　　墨菲定理說，會出錯的事總會出錯，若是你擔憂某種狀況發生 , 那麼它就更有可能發生。這個定理用到 IT 安全上，就是 「 再穩健的 IT 安全也會出問題。 」 這時候，咱們老祖宗的那句話就派上了用場：凡事予則立，不予則廢。 CIO 應趁着系統還在運行的時候，制定一個災難恢復計劃，將災難帶來的損失下降到最小，這也許是 IT 安全保障的最後一個策略。

　　 (6)IT 安全演習

　　最後一點，當安全系統被攻破，危急時刻要迅速抉擇不免有誤。所以，平時創建應急預案，演習危機處理流程很是有必要。