贵公司的所有人都“了解”安全议程吗?

来源:岁月联盟 编辑:exp 时间:2012-02-25

  【IT168 资讯】最终用户通常只从一般意义上了解安全需求,没有领会它们在保持安全方面所起的关键作用。本文介绍了 IT 部门在传达所有员工必须主动遵从安全流程这一信息时可以采取的步骤。

  如果说有个问题让 IT 管理人员彻夜难眠的话,那就是安全问题。

  根据赛门铁克 2010 年度企业安全状况报告,网络安全现在已超过了传统犯罪、自然灾害和恐怖主义,成为大型企业的头号风险。

  此外,该报告还发现,几乎所有接受调查的企业 (94%) 都希望对 2010 年的网络安全工作进行调整,近半数 (48%) 预计会进行重大调整。

  尽管事实如此,但是,很多企业依然缺乏安全意识,这也许会让人感觉吃惊。IT 策略遵从小组进行的调查研究显示,企业未能通过审计的首要原因是员工缺乏相关的安全意识。¹

  本文对企业安全的现状进行了调查,并推荐了 IT 部门传达所有员工必须主动遵从安全流程这一信息可以采取的步骤。

  2010 年为何与往年不同

  2010 年度企业安全状况报告充分证明,当今企业在运作过程中时刻保持着警惕。主要原因在于,他们遭受的攻击比以往任何时候都要多。该报告显示,75% 的企业在过去的 12 个月中都遭到了网络攻击,41% 的企业表示这些攻击给其造成了一定的甚至很大的损失。

  毫无疑问,这些攻击的后果越来越严重。该报告表明,所有接受调查的企业 2009 年都因网络攻击而遭受损失。最常见的损失是:

  窃取客户信息

  环境停机

  知识产权遭窃

  客户信用卡信息被盗

  最常见的损失如下:

  工作效率下降

  收入减少

  客户信任丧失

  总的来说,在 2009 年一年中,企业报告的有关网络攻击的损失达到了 200 万美元,而大型企业损失更为惨重,高达近 280 万美元。

  情况已经够糟糕了,而调查报告接下来表示,企业在安全方面人员配备严重不足。这样,就会出现企业部署云计算和服务器虚拟化等计划会使安全实现更加困难的情形。

  为何要让每个人都正确认识 IT 安全

  不用说,在这种环境下,就防范网络风险来说,不会存在“安全如常”之类的事情了。必须将提高企业的安全意识作为重中之重。

  员工必须意识到,即使是网上冲浪、单击电子邮件内的 URL 或链接等简单的操作,也足以将公司置于风险当中。目前,员工无意违反数据安全策略,仍是导致数据泄露的主要因素。

  与此同时,企业还需要清楚,有些员工主动绕开安全流程,因为他们感觉,安全流程影响他完成工作。赛门铁克最近对焦点小组的调查显示,一些最终用户仅从一般意义上认识安全需求,并没有把握住(或关注)它们在安全维护方面所起的作用。就这些用户来讲,IT 安全通常会妨碍创新型业务计划的实施,对员工工作效率有负面的影响。²

  防止数据再泄露

  为了保护信息,使其免遭内外部威胁的侵扰,企业应该采用一种安全保障操作模式,这种模式是基于风险的,具有内容识别机制,可以实时响应威胁,并且能够依据工作流程自动执行数据安全保障过程。赛门铁克认为该模式可以有效传达这样的信息:遵循安全流程是企业内每个人的责任。以下四个步骤可以帮助企业通过成熟的解决方案降低数据泄露风险:

  第 1 步:保护基础架构。现在,您需要对系统进行集中了解,才能高效管理这些系统,从而最终保护其免受新威胁的攻击。这就意味着,除了安全地备份和恢复数据外,您还需要保护所有端点、电子邮件和重要内部服务器。Symantec Protection Suite 营造了一个安全的端点、消息传输和 Web 环境,让企业既能够防御当前复杂的恶意软件、数据丢失和垃圾邮件威胁,又可以在发生故障之后快速恢复。

  第 2 步:制定和实施 IT 策略。企业可以先划分风险优先级,并制定企业策略,这样企业就可以通过内置的自动化工作流程更有效地实施这些策略。工作流和自动化不仅让您识别威胁,而且还可以让您对已经发生的事件予以补救,或提前对其进行预测。Symantec Control Compliance Suite 是业界唯一一款能够以低成本、低复杂性全面控制各种 IT 风险和遵从状况的全自动化解决方案。Control Compliance Suite 提供了能够帮您遵从多个行业法规的现成策略内容,自动化的技术和流程控制评估功能,基于 Web 的管理面板报告功能以及与其他赛门铁克安全解决方案相集成的功能。

  第 3 步:主动保护信息。以往的安全措施都侧重于保护网络安全。现在,企业采取信息化方法主动保护其信息。通过重点关注数据本身,您可以了解数据的所在位置、访问者和使用方式,甚至还可以主动防止其丢失。使用 Symantec Data Loss Prevention,企业可以了解策略违规情况,通过自动隔离、重新定位以及支持基于策略的加密,主动保障数据安全。Symantec Data Loss Prevention 可以在网络和终端上禁止活动内容,从而防止机密数据通过不正当的方式从企业中泄露出去。赛门铁克可以确保企业最大程度地降低风险,自动实施数据安全遵从策略,并使企业能够改变员工的行为。

  第 4 步:管理系统。安全措施一旦实现了标准化、流程化和自动化,就必定会让您的生活变得更轻松。您只要通过这些简单的操作,就可以让安全软件执行从补丁程序管理到法规审计的繁琐任务。赛门铁克 Altiris IT Management Suite 是业界最全面的集成式套件,可以帮您降低台式机、笔记本电脑、服务器等公司 IT 资产的管理成本及复杂性。IT Management Suite 还可以帮您降低运营成本、提高运营效率、做出保护和管理 IT 环境的战略决策。

  结论

  现在,数据泄露风险比以往任何时候都要高。部分原因在于,以企业为目标的攻击以及对恶意代码的开发热情一直高涨。例如,2009 年,赛门铁克发现了 2.4 亿多种全新的恶意程序,与 2008 年相比,增加了 100%。³

  所幸的是,目标性攻击是可以打败的,其他数据泄露也是可以防范的。但是,这需要企业内的所有员工都清楚其责任所在。赛门铁克推荐采用的操作安全模式可以为企业提供灌输这种安全文化的蓝图。

  要了解详细内容,还可以参阅《2010 年度企业安全状况报告》和《互联网安全威胁报告》(第十五期)。

  ¹ “信息安全管理最佳实践”,IT 策略遵从小组,2010 年 2 月

  ² 2009 年 8 月和 9 月,赛门铁克对企业和中型企业的战略和职能决策者组成的 16 个焦点小组进行了调查

  ³ 《赛门铁克互联网安全威胁报告》(第 15 期),2010 年 4 月

  相关内容

  2010 年度企业安全状况报告

  互联网安全威胁报告