在数字化成为经济发展常态的当下,信息安全已经逐渐成为保证企业正常经营的重要一环,然而在实际操作中,企业对信息安全的维护力度却与认知有所差距。
安永4月18日发布的《第19届全球信息安全调查报告》通过对72个国家、25个不同的行业的1725位高级主管人员的调查发现,企业管理层的认识和企业投入之间的不匹配导致全球87%的董事会成员和公司高管对各自企业的信息安全缺乏信心。
<?xml:namespace prefix = o /> 报告显示,44%的被调查企业没有设立信息安全运营中心;64%的被调查企业没有一套成熟的发现信息安全威胁的机制;43%的企业不知道该如何修复发展物联网带来的安全漏洞;86%的企业明确表示当前的信息安全措施并不能够满足企业的安全需求,无法抵御数据泄露的风险;66%的企业则表示,一旦受到重大攻击,企业的安全平台根本无法发现;更有57%的企业指出,近期都遭遇过一次重大的网络安全威胁。
安永大中华区信息安全主管阮褀康说,企业对信息安全认识的提高和对自身信息安全保护措施的不自信,确实在近几年推动了信息安全企业预算的增加。
报告称,从2013年到2016年,被调查企业安全预算每一年都有所上升,增幅最高超过50%。
然而问题在于,阮褀康直言,加大信息安全预算与企业信息安全水平的提升并不是正比的关系。
他进一步指出,很多企业没有意识到,信息安全不是一个IT方面的议题,而是涉及到整个公司、整个管理层全面风险管理的一个重要议题,但只有25%的企业把信息安全的议题纳入董事会,同时仅有35%的企业把维护信息安全需要做的改进工作向董事会汇报。
政策层面的忽略会直接导致企业信息安全工作无法有效开展,这一缺失是无法通过提高企业IT预算来弥补的。
对此,安永大中华区信息安全主管顾卿华建议,要想全方位保护企业信息安全,企业一定要建立完善的信息安全发现和响应机制。
机制既要包括客户,也要包括企业管理层,从需求端到政策执行端,保证信息威胁从发现到处理过程中每个环节都有专门的部门和人员去处理。
具体到中国企业,阮褀康介绍说,中国互联网(爱基,净值,资讯)产业发展得非常快,也有越来越多的中国企业开始关注企业信息安全维护工作,但即便如此,中国企业信息安全发展仍有一些问题需要解决,一是中国企业信息安全缺乏既懂技术又懂风险管控的专业人才;二是企业信息安全部门定位不清,多数归属于IT项目而非独立部门;三是信息安全维护资金投入不足。
毕竟进行信息安全维护的回报率很难衡量,这在一定程度上加大了管理层进一步加大预算的难度。
不过,顾卿华也强调,后期随着《中华人民共和国网络安全法》6月1日生效,其对个人隐私信息的保护,对核心信息基础设施的重点安全的防护、对数据跨界的传输、对网络安全风险的评估都将就此有规可依,再加上中国诸多企业都面临巨大的互联网转型和数字化的转型,所以在企业信息安全管理方面,中国企业还需尽早做好准备。