安全专家们当然会担心来自外部攻击者的威胁,但是真正令他们寝食难安的却是来自公司内部的危险。
这是InformationWeek Analytics/DarkReading.com最近进行的一项调查得到的重要结论之一。在400多名接受调查的安全专家中,有52的人表示他们最担心的是公司内部的隐患,包括公司员工或商业合作伙伴在日常工作中有意或无意造成的数据泄露。
这种担忧到底是因内部安全事故确实增多而起,还是因为媒体关于公司内部安全事故的公开报道越来越多而引起,这一点是很难确定的。我们只知道一点,那就是目前可防止内部攻击的防御措施少的可怜。 不幸的是,现在几乎没有什么办法可以切实阻止一名处心积虑想盗窃或破坏数据的员工实施其犯罪行为。
当被问及他们所在的公司或组织存着的最大潜在隐患时,有35的安全专家认为是笔记本电脑或便携式设备的丢失或失窃,这也与公司内部人士有密切关系。这也反映出最近媒体关于公司安全事故报道量的增多,那些安全事故往往是因内部员工无心造成大量个人数据丢失,结果导致公司陷入非常麻烦的境地。 身份盗窃保护的代价很高,几乎与品牌受损和失去客户信任的代价差不多。
那么,怎样才能让我们的生活变得更加美好,让公司的数据变得更加安全呢? 最好的做法当然是教育公司员工,让最终用户明白其中的安全隐患。其次则是使用自动化安全技术,让我们不用再去处理细节的东西,而把注意力集中在战略问题和突发性威胁上。
幸运的是,我们也许还有足够的现金来满足第二个要求,也许还可以花一点钱来对员工进行培训。在调查中,几乎没有人表示存在安全预算不足的问题。 尽管各行各业都受到了宏观经济衰退的冲击并展开了裁员计划,但是安全行业的情况还算比较好。
在我们的调查中,有三分之一以上(35)的人表示他们预计2009年的IT安全预算会有所增加。有30的人表示那些预算会略有增加,5的人表示他们的预算会大幅增加。超过半数(54)的安全专家表示,他们2009年的安全预算会与去年持平。安全预算方面的情况可以说相当地好。
这些调查结果与业内其他组织最近进行的调查的结果完全相符,几乎所有的调查都表明IT安全预算会在未来的12个月里略有增长。只有12的公司或组织打算削减安全预算,只有5的公司或组织大幅削减了安全预算。然而这并不意味着安全行业可以不受经济衰退的影响,调查结果明确指出,大部分公司或组织都不认为它们能够把预算长期维持在这个水平上。公司们如何才能消除内部安全隐患呢?