邱燕娜

普華永道最新發(fā)布的全球信息安全狀況調(diào)查（以下簡稱調(diào)查）報(bào)告顯示，2014年由被檢測到的信息安全事件導(dǎo)致的企業(yè)財(cái)務(wù)損失激增了34%。我國的這一數(shù)據(jù)是33%，好不到哪里去。

據(jù)悉，全球信息安全狀況調(diào)查于2014年第2～3季度進(jìn)行，收到全球9700余名企業(yè)高管和專業(yè)人員的反饋（其中400多名來自中國）。 記者發(fā)現(xiàn)，調(diào)查結(jié)果顯示的當(dāng)前信息安全特征還有幾個(gè)非常值得關(guān)注：

首先，網(wǎng)絡(luò)犯罪導(dǎo)致的財(cái)務(wù)損失讓人吃驚。調(diào)查報(bào)告顯示，在我國由被檢測到的網(wǎng)絡(luò)犯罪事件所導(dǎo)致的平均財(cái)務(wù)損失達(dá)240萬美元，高于亞太地區(qū)的平均財(cái)務(wù)損失190萬美元。

其次，商業(yè)機(jī)密泄露引發(fā)的財(cái)務(wù)損失令人震驚。普華永道針對全球財(cái)務(wù)損失的估算表明，全球因商業(yè)機(jī)密被竊取而導(dǎo)致的財(cái)務(wù)損失高達(dá)7490億美元至2.2萬億美元。按照中國4%的調(diào)查參與率來計(jì)算，中國由于商業(yè)機(jī)密造成的財(cái)務(wù)損失在300億美元到 900億美元這一范圍。

“全球信息安全狀況調(diào)查證實(shí)了我們的顧慮，已檢測到的信息安全事件帶來的財(cái)務(wù)影響正在迅速增加，同時(shí)仍有許多攻擊沒被發(fā)現(xiàn)或者報(bào)告?！逼杖A永道中國網(wǎng)絡(luò)安全服務(wù)合伙人冼嘉樂表示。

最后，現(xiàn)有雇員或離任雇員被認(rèn)為是最有可能引發(fā)信息安全事件的威脅，但是企業(yè)卻缺乏關(guān)鍵的防范制度。調(diào)查報(bào)告顯示，有41%的中國受訪者表示，一些對公司抱有不滿情緒的離任雇員利用其對公司安全系統(tǒng)和架構(gòu)的了解，成為公司信息安全的主要威脅之一。冼嘉樂提醒：“內(nèi)部人員泄密和外部攻擊者利用信息安全漏洞謀利，致使信息安全風(fēng)險(xiǎn)正在日益增加，但針對這些因素的關(guān)鍵防護(hù)機(jī)制卻比較缺乏。”

事實(shí)上，此前發(fā)布的《2014年普華永道全球經(jīng)濟(jì)犯罪調(diào)查報(bào)告》已經(jīng)揭示了企業(yè)前雇員的這類潛在安全威脅，中國受訪者稱其80%的經(jīng)濟(jì)犯罪事件疑為內(nèi)部人員所為。

“鑒于各類已檢測到的、未檢測到的，以及未報(bào)告的網(wǎng)絡(luò)犯罪事件不斷飆升，企業(yè)已不能只疑慮自身信息是否安全，而是要想到信息安全事件是否已然發(fā)生?！辟螛分赋觥?/p>

值得關(guān)注的是，調(diào)查結(jié)果顯示，84%的中國受訪者稱其在信息安全方面的預(yù)算有所增長。但是與此同時(shí)，大型企業(yè)（收益超過10億美元）檢測到的信息安全事件較去年增加了44%。不容忽視的是，盡管企業(yè)增加了維護(hù)信息安全的投入以應(yīng)對網(wǎng)絡(luò)安全威脅，很多企業(yè)仍過多依賴外部執(zhí)法機(jī)構(gòu)對信息安全事件的識別和警告，而缺少企業(yè)自測手段。

與此同時(shí)，調(diào)查結(jié)果顯示，盡管我國很多受訪者表示目前擁有信息安全保護(hù)政策，但其缺乏信息安全策略或遠(yuǎn)景，這成為他們維護(hù)信息安全最主要的障礙之一。

在此背景下愛，冼嘉樂建議，企業(yè)應(yīng)該建立戰(zhàn)略性安全管控體系，這需要做好五個(gè)步驟：第一，確保信息安全的管控策略與商業(yè)目標(biāo)一致，并使之成為戰(zhàn)略資源；第二，識別最有價(jià)值的信息資產(chǎn)，優(yōu)先保護(hù)高價(jià)值數(shù)據(jù)；第三，為了減少響應(yīng)各類攻擊的時(shí)間，充分了解對手（包括他們的動機(jī)、可能會利用的資源，以及可能采用的攻擊方式等）；第四，評估第三方合作伙伴的信息安全狀況，確保第三方也能滿足自身的安全策略和最佳實(shí)踐的要求；第五，積極參與多方合作，提高企業(yè)對網(wǎng)絡(luò)安全威脅的應(yīng)對意識。