信息安全挑战加剧

2014年是网络威胁和数据泄密事件层出不穷的一年，从政府、银行，到零售商、游戏网络，影响范围广泛。

Steve Durbin 是信息安全论坛（ISF）的总经理，ISF作为一家非营利性协会，为其成员评估安全和风险管理问题。Durbin表示，可以预计，未来网络威胁的大小、严重性和复杂性会将不断增加。

他说：“信息安全面临的新局面不是网络威胁数量增多，而是复杂性和狡猾性增强。”

网络犯罪加剧

Durbin表示，互联网越来越吸引犯罪分子、激进分子和，他们通过在线攻击捞取钱财、引起注意、造成混乱，甚至企图搞垮企业和政府。

如今的网络犯罪分子技术高超，配备了非常现代化的工具，他们常常利用21世纪的工具来攻击20世纪的系统。

“2014年，我们看到网络罪犯分子展现出了更紧密的合作，拥有高超的技术能力，让许多大型企业措手不及。” Durbin说。

“2015年，企业必须对不可预知的情况有所防备，那样才有可能抵御不可预知的、影响重大的事件。”他补充道，“网络犯罪增多、黑客行动加剧、技术日新月异，而应对更高监管要求的合规成本增加，以及安全部门投资不足，这些因素共同带来了极其严重的威胁。”

隐私泄露和监管成本上升

大多数国家的政府已经制定或正在制定监管法规，以加强对个人身份信息的保护，企业如果未能提供有力的保护，就要受到处罚。为了减少因用户隐私泄密而导致的声誉受损和客户流失风险，以及监管制裁成本，用户个人信息对于企业来说既是合规问题，又是业务风险问题。

2015年，全球各地的监管法规可能会让许多企业面临日益加重的负担。

Durbin说：“我们发现，越来越多的政府计划出台信息收集、存储和使用方面的监管法规，如果企业在丢失数据、泄密后没有通知，就会受到严重惩罚，欧盟国家尤为如此。这将给企业安全部门之外的职能部门也带来监管方面的开销。”

他补充说，企业应将欧盟处理数据泄密法规和隐私法规视作一个可参考的指标，并提早做出相应计划。“监管部门和政府都在竭力发挥作用。这会给企业带来更大的负担，它们需要部署资源来积极应对。”

来自供应商的威胁

供应链是每家企业业务运营的重要组成部分，也是如今全球经济的基础。不过Durbin表示，各地的安全主管们越来越担心供应链上的众多危险因素。比如大量的宝贵信息和敏感信息常常需要与供应商共享，共享信息就会失去对这部分信息的直接控制。这将会导致信息的机密性、完整性或可用性受到危及的风险加大。

连一些貌似无害的连接也有可能成为攻击途径。闯入美国Target百货公司的攻击者就钻了一款Web服务应用程序的空子，该公司的暖通空调厂商利用该应用程序来提交发票。

Durbin说：“在接下来一年，供应商会继续面临针对性攻击的压力，能够保证数据机密性、完整性、可用性的可能性非常小。供应商无意中访问企业知识产权、客户或员工信息、商业计划或谈判合同的后果，虽然无意，但却有可能带来危害。这种想法不应该局限于制造或分销合作伙伴，还适用于企业的专业服务供应商、律师和会计师，他们都经常可以访问企业最宝贵的数据资产。”

Durbin补充道，信息安全专家应与服务承包方密切合作，共同对潜在的威胁展开全面的尽职调查。

他说：“结构良好的供应链信息风险评估方法可以提供详细、逐步的方法，将原本很艰巨的项目分为多个易于管理的部分。这种方法应该由信息驱动，而不是以供应商为中心。”

BYOD趋势难挡

Durbin表示，无论企业喜欢不喜欢，自带设备（BYOD）趋势已蔚然成风。可却很少有企业制定了良好的政策指导准则应对这种趋势。

“随着越来越多的员工将移动设备、应用程序和基于云的存储服务带到工作场所，大大小小的企业看到信息安全风险比以前更大了。这些风险来自企业内外的威胁，包括设备本身管理不当，外部操控软件漏洞，以及部署没有经过充分测试、不可靠的业务应用程序等。”

他特别指出：“如果实施不当，工作场所的个人设备策略可能会因工作数据和个人数据缺乏界限而无意中披露数据，更多的业务信息可能保存在消费级设备当中，而且没有得到保护。”

而实际上，Durbin表示，即便企业制定了禁止BYOD的政策，预计用户也会想方设法用自己的设备来办公。

他说：“用户的力量实在太强大了。这有点像是试图阻挡潮水。你也许能阻止潮水涌入一小块沙滩，但潮水总有办法绕过它。”

让员工成为第一道防线

这又回到了每家企业最重要的资产、也是最容易受攻击的对象：员工。

在过去几十年，企业花在加强信息安全意识培养上的开支即便没有数十亿美元，也有数千万美元。Durbin表示，这种方法基于的道理是，让最重要的资产――员工改变行为，让他们了解自身的责任、要做的工作，从而降低风险。

但这种方法以前不管用，以后也不会管用。相反，企业要让积极的安全行为成为业务流程的一部分，让员工由风险变成企业安全体系的第一道防线。

Durbin说：“进入2015年后，企业需要改变工作重心，由原来加强安全意识、注意安全问题，变成制定解决方案，整合降低风险的信息安全行为。”

Durbin说：“不能仅仅让员工意识到信息安全责任以及如何应对，对于企业来说，解决之道是整合积极的信息安全行为，让这成为一种习惯，成为企业信息安全文化的一部分。”（编译/沈建苗）