金融危机来临 企业CIO如何保护IT安全？

金融危机来临 企业 CIO 如何保护 IT 安全？

金融危机和经济低迷使得 CIO 不得不勒紧裤腰带，公司所以削减成本将成为很是现实的措施。许多 CIO 透露其公司近期也正考虑调整一些 IT 项目，将有限的预算资金从新调配。

金融危机和经济低迷使得 CIO 不得不勒紧裤腰带，公司所以削减成本将成为很是现实的措施。许多 CIO 透露其公司近期也正考虑调整一些 IT 项目，将有限的预算资金从新调配。

　　可是一项调查显示，大多数公司 CIO 仍是但愿在 IT 安全上的投入可以有所增加或者至少在 IT 安全投入上可以保持不变。该调查还发现， IT 安全问题愈来愈受企业重视，与 IT 安全相关的决策都会往上呈报给更高主管，说明对多数企业而言， IT 安全已不仅是 IT 部门的事情。

　　一 . 经济低迷， CIO 面临削减 IT 预算压力

　　目前，世界经济体都在经历经济滑坡，企业正在寻求削减开支、改善收支情况的良方。所以在经济低迷的时候，一个大的挑战就是要用更少的成本作更多的事情，力求用好每一分钱的预算。虽然 IT 安全预算在企业的总成本基数中所占的比例一般较小，但企业高管们仍不可避免地会将他们的注意力转向 IT 安全预算，要求 CIO 对其进行大幅削减。

　　企业 IT 安全风险产生的成本可分红两种：一是 “ 硬钱成本 ”(Hard-dollar costs) ，主要衡量实际现金损失以及 IT 人员投入修复的时间与资源 ; 二是 “ 软钱成本 ”(Soft-dollar cost) ，包括开会、生产效率、沟通关系以及商机消失等间接损害。对企业来讲， IT 安全问题不仅是不被******，还包括对重要资料的妥善保管。在通常状况下， IT 安全投资一般是保障企业的正常运营的工具，其效益可远远超过按惯例削减 IT 成本所能节省的资金。

　　简单的说， IT 安全说穿了就是消弭公司的风险。所以在最糟糕的经济环境下但愿削减 IT 安全预算时，应该要问这样的一个问题：在经济低迷时公司的 IT 安全风险会下降吗 ? 实际上，当经济低迷的时候，企业的信息安全的情况也不太好，并且更不幸的是 IT 安全问题反而剧增。

　　这次由 CIO 参与的名为 “IT 安全：如何在经济低迷时保护生产力 ” 的调查显示，随着经济下滑规模不断扩大，企业受到的 IT 安全威胁也愈来愈严重，并且形成的损害后果也愈来愈大，信息安全的紧迫性日益凸现。因此，在经济下滑时中止 IT 安全投资可能效果拔苗助长。所以，经济低迷时 IT 安全管理，不能只是简单削减成本， IT 安全问题已经成为制约企业渡过经济危机的关键问题之一。

　　二 . 为何 IT 安全风险随经济下滑反向剧增 ?

　　 (1)IT 安全风险如影随形

　　统计数据代表， IT 安全风险随经济下滑反向剧增，涉及 IT 信息的违法犯罪活动会不断攀升，***的***手法更是花样翻新。 IT 系统由多种设备、设施构成，所以其面临的威胁是多方面的。整体而言，这些威胁能够归结为三大类：一是对 IT 设备的威胁 ; 二是对业务处理过程的威胁 ; 三是对数据的威胁。要增强 IT 系统的安全防范，就要研究上述威胁，查清影响 IT 安全的因素。

　　这些因素有哪些呢 ? ①是 IT 系统软硬件的内在缺陷。这些缺陷不只直接形成系统故障，还会为一些人为的恶意***提供机会。最典型的如微软的操做系统设计缺陷，一些病毒、***盯住其破绽兴风做浪。②是恶意***。***的种类有多种，有的是对硬件设施的干扰或破坏，有的是对数据的***，有的是对应用的***。严重时可致使硬件永久性故障或损坏 ; 对数据的***也可破坏数据的有效性和完整性，或可能致使敏感数据的泄漏、滥用 ; 对应用的***则会致使系统运行异常甚至中断。③是使用不当，如误操做。这类使用不当会致使系统安全性能降低甚至系统异常也常常发生。

　　 (2) 经济低迷时，高价值数据外泄危机更是频繁

　　在 2008 年《 IT 风险管理研究报告》中一项调查结果引人注意，那就是 58% 的受访者表示在近期发生过一次重大 IT 安全数据外泄事件。之因此造成这样的趋势，很重要的一个缘由就是经济犯罪色彩愈来愈浓。如今以盈利为目的的 IT 安全***目标已再也不是基础架构 ( 如软 / 硬件和网络设备 ) ，而是以运营在基础架构上的数据信息为目标，它形成的现实损失是一些关键信息被破坏或者是被泄露出去，这种损失对大多数企业来讲更难以承受，。

　　 (3) 垃圾邮件形成经济损失成 IT 安全最大威胁

　　据不彻底统计，***转让此类垃圾邮件的用户信息每一年就能进帐数百万甚至上千万元人民币，而这种病毒和垃圾邮件造成的连锁垃圾邮件经济也成了近年垃圾邮件屡禁不止的主要缘由之一。垃圾邮件、病毒这两个 “ 网络骚扰者 ” 随便赶上哪个，都足以让 CIO 头疼不已，并且这类事件还有随着经济下滑有进一步加重的趋势。

　　 (4) 内部裁人情绪的成最大 IT 安全隐患

　　面临经济不景时，公司在须要裁人时在 IT 安全方面的最大挑战是什么 ? 根据调查报告显示，最大的威胁和隐患是用户情绪不稳定和受到裁人威胁。在公司可能裁人的敏感时期， IT 安全的风险也受这个因素的影响而大大增长，这种过渡时期致使的不只是安全泄露，更严重的是可能使到 IT 系统崩溃。

　　常言道：堡垒老是最易从内部攻破，公司愈来愈重视 IT 安全建设，可是都主要在对付外来的***上，而忽略了来自内部的隐患和***。在这个过渡时期，不可避免的是来自以破坏信息完整性或者窃取信息机密为目标的恶意***呈飞速增加之势。不管员工是由于不满，仍是只是感受没有人看到，咱们常常看到当企业可能裁人的状况下，表明巨大公司价值的 IT 信息资产可能首先被错放或者被窃取，并且很难断定这些信息是否用用于欺骗或者其余的非受权的目的。

　　另外，卡耐基梅隆大学研究代表，那些由内部人员发起的***中， 86% 的犯罪者都是技术人员。在这些人中 55% 的人是在离职后进行***的。在前段时间媒体上广为报道的一个例子是，某公司用了 20 名员工花了 280 小时才修复那些被一个对公司不满的内部人员删除的数据。进行***的时候，犯罪者曾经是该公司 IT 部门的一名职员，他可以远程访问关键系统。从报道中咱们能够看出， IT 内部人员一般拥有对关键系统的访问权，即便在离职以后，他们也能够是用特别的账户和密码访问这些系统。

　　所以， IT 部门和人力资源部必须了解可能致使 IT 安全失误的事件，离职员工和公司管理人员必须明确了解哪些信息离职人员能够带走，哪些必须交接和保密。公司必须慎重管理、防护信息泄露和安全问题。其实，不仅仅只有裁人的公司面临这种困境，许多公司的在正常的内部管理也面临一样的难题。 CIO 要明白到当今 IT 安全最大的威胁实际上是源自很小的事情，但这些事情每每被忽视了。

　　

三 . 经济低迷时， CIO 如何应对 IT 安全风险 ?

　　 IT 安全威胁的种类包括网络***、***、恶意代码， CIO 必须身先士卒，带领部下创建坚固的 IT 安全环境，以减小 IT 犯罪分子***得手的可能性，下降损失程度。一提起企业 IT 安全，咱们最早想到的是防火墙、防病毒、***检测、数据加密等独立的安全产品。可是 IT 安全不止这些，受权、认证与管理比单个安全软件产品更重要， IT 安全应该有完整的策略。

　　所以， CIO 应该把 IT 安全看做是一种公司运营层面而不是技术层面上的挑战。它相似于传统的质量保证项目，主要是防患于未然而不是等待问题出现以后再去解决，而且要求全部员工的亲身参与而不只仅局限于 IT 人员。最终的目标也不是让 IT 系统变得无懈可击，由于这根本不可能作到，而是把由此带来的商业风险下降到能够接受的程度。

　　 (1)IT 安全策略

　　企业 IT 安全问题自始至终都是一个比较棘手的事情，它既有硬件的问题，也有软件的问题，但最终仍是人的问题。在对企业 IT 安全策略的规划、设计、实施与维护过程当中，必须对保护数据信息所需的安全级别有一个较透彻的理解。

　　策略要能对某个安全主题进行描绘，探讨其必要性和重要性，解释清楚什么该作什么不应作。安全策略应该简明，在生产效率和安全之间有一个好的平衡点，易于实现、易于理解。安全策略必须遵循三个基本概念：肯定性、完整性和有效性。另外，安全策略不能忽略小的方面而影响总体的安全。这包括对设备、数据、 e-mail 、 Internet 等的可接受的使用策略。

　　 (2) 进行安全分析

　　这是一个常常被忽略的工做步骤，同时也是 IT 安全策略制订工做中的一个重要步骤。这个步骤的主要目标是肯定须要进行保护的信息资产及其对公司的绝对和相对价值，在决定保护措施的时候要参照这一步骤所得到的信息。考虑的关键问题包括须要保护什么，须要防范哪些威胁，受到***的可能性，在***发生时可能形成的损失，可以采起什么防范措施，防范措施的成本和效果评估等等。

　　公司的安全分析检查重点应是看***是否容易、哪些系统或程序易受***，经过制订完善的操做计划，令***悻然离去。例如，坚持使用安全的软件，公司若是是使用外部供应商的软件，应当时时跟踪软件的版本与修订状况，及时更新补丁 ; 若是是自行开发软件，则必须确保开发人员遵照安全的编码与测试规则，减小软件漏洞不让***有隙可乘。

　　 (3) 监控高风险用户和角色

　　有时公司须要积极地监视某些角色，特别是这些角色对企业会形成极高的风险，企业要监视以便发现其潜在的 “ 不可接受 ” 的行为。例如一位采购经理为谋求一个职位可能会将本身可以访问的敏感数据带到另一家竞争公司那里去。这种状况下，其访问是被受权的，不过却应该监视其是否存在着滥用的状况。岗位、职责的轮换以及设定任命时间也是对付高风险的一个重要方案。另外，注意的是 IT 安全专家一般也属于高风险角色的范围。

　　 (4) 增强用户教育

　　对用户而言，像网页钓鱼和捕鲸 ( 把公司高官选做下手目标的电子邮件欺骗手法 ) 这些有针对性的***让人担忧，由于这些***会利用用户没有及时接受公司教育方面的漏洞。网络访问控制和安全信息管理等技术有助于保护 IT 安全，但帮助很是有限。随着***变得更加狡猾，用户教育成了唯一选择。

　　人们广泛认为， IT 安全是 IT 部门的事情，其实这并不符合实际状况。用户才是 IT 安全的最大威胁，由于大多数用户对其行为的危险性不觉得然。由于不管对用户进行多少次的安全知识培训，用户老是禁不住各类病毒附件的 “ 诱惑 ” ，或为了获取浏览速度，不惜关闭防火墙。 IT 安全问题人人有责、义不容辞。让人遗憾的是许多状况是当出现 IT 安全问题后， IT 主管老是被动应付，只能采起补救措施。实际上， IT 安全责任存在于公司的各部门，应该要作到防微杜渐，以小见大。

　　 (5) 灾难恢复

　　墨菲定理说，会出错的事总会出错，若是你担忧某种状况发生 , 那么它就更有可能发生。这个定理用到 IT 安全上，就是 “ 再稳健的 IT 安全也会出问题。 ” 这时候，咱们老祖宗的那句话就派上了用场：凡事予则立，不予则废。 CIO 应趁着系统还在运行的时候，制定一个灾难恢复计划，将灾难带来的损失下降到最小，这也许是 IT 安全保障的最后一个策略。

　　 (6)IT 安全演习

　　最后一点，当安全系统被攻破，危急时刻要迅速抉择不免有误。所以，平时创建应急预案，演习危机处理流程很是有必要。