信息安全所受关注度仍低，企业需重新评估安全价值

近年来，网络攻击与信息泄密事件层出不穷，摆在企业信息安全方面的挑战日益严峻。虽然与个人信息安全相比，企业信息安全所受到的关注度更低，但无疑，所带来的经济损失更大，而大型企业所面临的安全威胁相比中小企业更为严重。

日前，IBM公司应用洞察中心完成了第三次IBM年度首席信息安全官(CISO)调研，此调研深入采访了近140位企业高级安全主管。调研结果显示，超过80%的安全主管认为，企业面临的外部威胁正与日俱增，近60%的安全主管认为所在企业遇到网络安全大战将难以幸免。该调研报告针对这些调研结果给出结论：技术是解决安全问题和威胁的关键，当前的企业应该重点关注大数据、云计算和移动等技术。

该调查的另外一个重要结果是，40%的安全主管将复杂的外部威胁视为企业面临的首要挑战。此外，近15%的主管提到的企业监管问题位列第二大挑战。如果企业领导仍不断强调业务优先，那么在未来的三到五年内，企业将不得不投入大量精力解决外部威胁，而为此所做的投入将等同于企业解决监管问题，新技术开发与内部威胁所做投入的总和。

普华永道日前发布的全球信息安全状况调查验证了这一趋势，随着网络科技的发展，企业因信息安全遭遇的损失猛增。2014年，由检测到的信息安全事件所导致的中国大陆和香港企业的财务损失，平均每家受访企业激增33%，达到240万美元，高于亚太地区受访企业平均财务损失190万美元。

全球信息安全与技术管理专家、文思海辉CISO(首席信息安全官)Curt Dalton认为，企业信息安全遭遇与日俱增的安全威胁，其根源在于，信息安全防御和攻击的技术手段日新月异，随着移动互联网和云计算的普及，基于互联网的应用模式日益多样化，数据越来越成为企业的核心资产，移动应用无处不在，企业的安全边界越来越模糊。此外，企业合规性要求的不断更新，核心创新能力追求所带来的知识产权保护，行业和地区竞争加剧导致的商业机密窃取，日益扩大和延伸的供应商合作链条的把控，内部缺乏有效的访问权限控制，种种原因使得企业面临的安全威胁范围不断扩大。

同时，包括云计算、移动化、大数据、社交化在内的领先信息技术在让企业获得创新能力的同时，也扩大了企业信息安全的暴露面。以移动应用安全为例，此前Gartner报告指出，企业面临的最大挑战不是创建移动应用，而是在部署移动解决方案时会花费85%的成本和时间在企业后端应用的集成和安全性上。

在新的安全威胁形势下，企业需要关注企业内在和外在的信息安全，并由此开展安全治理工作。随着云计算、大数据、4G网络等领先的技术应用被广泛采用，企业内在和外在的信息系统生态在现在以及未来会更加开放，企业与企业之间、企业与政府之间、企业与供应链之间、企业与个人之间将产生长时间的广泛的互联，也意味着这将面临更大的安全威胁。可以预见的是，在未来，大数据安全、云安全、移动安全将大行其道，企业需要系统的信息安全管理体系。

Curt Dalton指出，在这样的形势下，企业业务安全和信息化应用安全的生态已经发生了明显和深刻的变化，信息安全已经超越了CISO的职能范围，变成了一个企业的头等大事。为此，企业需要重新评估信息安全的价值，重新评估自身的信息安全管控机制，重新确定自身的信息安全策略，企业信息安全主管需要重新定义企业的安全版图。