企业提升信息安全资源与能力任重而道远

当前，随着移动互联网持续深入，中国手机网民规模已达到4.5亿，其中智能手机用户则为3.8亿。移动终端不仅在生活中发挥功效，而且在工作环境中的使用量也大为增加。智能设备大量在移动办公中发挥作用，自然对企业业务产生了深刻影响。

安永近日发布的报告《应对变化 缩小差距——第15届安永全球信息安全调查》显示，以2006年为界，企业在信息安全方面的表现呈现出不同的特征。2006年以前，信息安全主要被企业视为减轻财务风险和符合SOX 404等新的合规要求的重要组成部分。而2006年以后，信息安全的范围扩展到以下两个方向：信息安全需要在更广的范围内保护企业，特别是在全球化的世界中；信息安全需要产生明确的投资回报，这就要求风险和绩效的相互协调。

然而，尽管企业正在采取措施加强信息安全管理，但是绝大多数还跟不上日新月异的风险环境。仅靠短期的渐进式变革和修补式解决方案是不够的，企业缩小差距的唯一办法就是从根本上实现信息安全功能的转型。

安永大中华区信息科技风险与审计咨询服务合伙人阮祺康表示，“实施信息安全转型旨在缩小脆弱性现状和安全性目标之间日趋扩大的差距，这不依靠复杂的技术解决方案，而是需要领导力、承诺、能力和行动的勇气，不是在一两年之后而是当下。”

调查报告显示，企业在信息安全所面临的挑战不可小觑，主要的挑战如下：

外部威胁有增无减，令企业深感担忧: 77%受访者表示其所在企业面临的外部威胁正不断增加。

安全防范措施未能同步追随云计算快速应用的步伐:从2010年至2012年，云计算的应用增长已翻倍 ，但仍有38%的受访者表示所在企业没有采取任何措施，缓解云计算所带来的安全风险。

移动应用大幅增长，但安全防护技术部署明显滞后: 44%的受访企业允许员工在工作中使用企业或者个人的平板电脑，但其中只有40%的企业对移动设备采用了加密技术。

社交媒介广泛普及，成为企业安全隐患：31%的受访者表示其企业并未采取相应的机制来处理社交媒介的安全风险。

安全预算和能力匮乏，差距持续扩大：62%的受访问企业表示预算受限，是信息安全工作的主要障碍之一。此外，44%的企业表示，安全管理和执行人员的能力偏低，严重阻碍了安全目标的实现。

该报告的结论指出：“企业只有从根本上转变信息安全管理策略，才能有效应对现有安全威胁，及由新兴技术带来的新的安全风险 。”

不断升级的外部威胁

随着信息安全威胁愈演愈烈、信息安全事故频发，企业也意识到所面临的风险环境正不断地改变。尽管企业做出种种改进，仍然跟不上风险变化的速度。2009年，有41%的受访者注意到外部攻击正不断增加;到了2011年，这一数字升至72%;而在2012年，这个比例增至77%。不断加剧的外部攻击包括黑客行为、间谍活动、有组织的犯罪、以及恐怖主义等。同时，企业也注意到内部安全方面的挑战不断增加。该报告显示，近一半的受访者(46%)表示已关注到这一点，他们认为员工信息安全意识薄弱是成功实施信息安全项目的最大挑战。

势不可挡的云服务的应用

新技术在为企业带来无限商机的同时，也引发了一些新的潜在威胁。云计算是业务模式创新的主要驱动因素之一，在过去两年中，应用云计算的企业数量已经翻倍。然而，仍有38%的受访者表示其所在的企业没有采取任何措施应对风险;例如诸多企业并未对云计算服务提供商的合同管理开展相对更严格的监管流程，以及采用加密技术。