在如今的信息时代,信息安全事故已经是司空见惯的事情,资深的it专家能够轻而易举地指出历史上的安全事故,如1977年英国帝国化工发生的磁带被盗事件,或者1988年造成大多数网络流量中止的morris蠕虫。虽然这些事故似乎已经成为历史,但是如今的信息安全管理基本模式仍然和30年前相同,。然而,当前的形势与30年前相比,不仅数据量是以前无法想象的,而it环境的复杂性也远远在企业的意料之外,给企业的正常运行,甚至整个企业的生存都带来风险,而对于中小型企业而言,企业it 风险管理机制的匮乏,更使其日日难以安枕而眠。
esg 认为,健全的安全管理应该建立在风险管理的原则上:威胁+漏洞=风险。根据这一公式,存储风险管理的重点是查找和修补漏洞,同时准确地评估威胁。在大幅削减威胁和漏洞的基础上,配之以完善的风险管理活动来有效地防御安全事故。如果按照以上的描述,安全管理似乎显得很简单,那么企业又为什么有如此多的风险问题呢? esg认为,主要是it的复杂性增加了漏洞数量,以及it的客观因素助长了威胁载体的发展。
因此,在2009年经济危机持续蔓延之际,尽管大多数企业的it预算都很紧张,但是企业it风险管理措施仍是其考虑的头等大事。esg对500多名中型企业(即员工人数在100至999的企业)的it决策者进行的调查表明,2009年,企业的it支出将重点投入到那些支持或保护业务的措施中,受访者表示,改善业务进程、降低成本以及加强安全控制以降低风险将成为他们优先考虑的三项it支出(见图1)。
图 1. 2009年it 优先性
esg的这些调研数据还进一步表明,安全甚至比新技术预防措施和it控制更为重要。it优先性前两位—改善业务进程以及降低成本必须辅之以强有力的安全保障。譬如,当首席执行官想与海外厂商共享数据并加强合作时,风险管理专家就必须提供强大的访问控制、数据加密以及终端用户审查等,将企业it风险降至最低,从而保障这些业务进程的顺利进行。
过去几年里,众目睽睽之下各种违法行为层出不穷,经验老道的计算机犯罪愈演愈烈,恶意病毒变种更是成指数级增加,总总不足一列举。而扫除这些风险,则需要强大的安全技术保障以及经验丰富的风险管理专家的协同合作。遗憾的是,中型企业在信息安全人员和技术上都尤显薄弱。有14%的受访者认为他们的企业正面临信息安全人员和/或技术匮乏的窘境。另外有44%的受访者认为他们企业的风险管理技术需要改进和/或完善。该图表明,当前it在信息安全处理这块还比较薄弱。而人员和技术方面的差距在纵向行业如零售业、政府部门、专业服务以及医疗保健尤为明显。
图 2. 中型企业的it 技术评估
虽然宏观经济环境不够理想,但是总体而言,中型企业将继续在it上进行投入,并将优先考虑改善安全控制以及规避it风险。而明智的企业,在it 风险管理上,则应该考虑:
着重短期投资回报率的衡量—在不景气的市场环境中,投资回收期长的风险管理工具,要求企业的前期投入过大,而所取得的收益在短期内难以估算。加之企业的预算紧张,因此,为了贯彻企业少花钱多办事的理念,企业在采购任何新技术之前,都应该考虑使用季度指标来衡量所有产品和服务的投资回报周期。
着重管理服务资源—由于it 机制的不健全,it风险管理服务一直是中型企业的软肋,在预算紧张和人员/技术匮乏的情况下更是如此。在目前金融状况不佳的形势下,企业可考虑it服务外包等风险管理服务形式。
对风险管理厂商的甄选—在经济不景气时期,围绕其风险管理产品建立健全服务体系的厂商才有可能提供全面的服务。因此,对中型企业而言,能够解除其后顾之忧的厂商才是助其市场决胜的最佳之选。
经济危机使得2009年中型企业将缩减it预算,而it厂商也在施展浑身解数,来博得市场青睐。而中型企业如何顺利度过这次寒冬,在完善it风险管理的同时,为春天的到来积蓄力量,则是其考虑的关键。那么中型企业需要擦亮眼睛了,那些最契合企业发展、能够为企业正常运行保驾护航的it风险管理方案,才是企业的福音。
关于esg-sino
esg-sino是世界领先的分析和咨询公司enterprise strategy group设在中国的运营机构,将为技术厂商、it专业人士和投资机构提供战略指导和无可比拟的高品质服务。esg-sino的首要目标是为中国it市场奉献与esg在北美和欧洲所提供的同样高品质的it情报和分析服务,帮助中国技术企业增强国际竞争能力。esg-sino在北京和武汉均设有办事处,由总经理王从(kim wang)主持中国业务的计划和运营。