如今人们越来越需要基于风险管理原则确定安全投资的重点——这是许多CIO和信息安全从业人士很陌生的一个领域，不过可以从同行身上学到一点知识。

　　要密切关注贵公司面临的信息安全风险，否则贵公司可能会发现自己疲于应付，这就是《2008年战略安全调查》得出的主旨。这次调查的对象是近1100名IT和业务专业人士，调查话题是保护公司资产的计划和优先项目。

　　投资收回成本不是最大问题

　　让安全投资收回成本不是最大的问题：足足95%的调查对象认为今年预算会与去年保持稳定，或者加大幅度。但这么大的投入并没有使数据变得更安全。66%的调查对象表示，就容易遭到安全泄密和恶意代码攻击的程度而言，今年与去年一样，甚至还要糟糕。“不比过去来得糟糕”何时开始成了可以接受的投资回报？
 
　　解决办法在于针对特定的威胁来保护安全。可问题是，说到采用有系统的风险管理流程，IT人员远远落后于其他方面。不过有些技术专业人士已经在积极分类IT资产、赋予风险值、评估威胁、然后确定何处及如何缓解风险，他们发现，风险管理流程极其重要。

　　简而言之，风险管理原则为信息安全带来了精确性。

　　这次安全调查表明了风险管理如何可以让公司把注意力放在对付最重要的威胁上：不安全的代码编写方法让所有调查对象都遭了殃。所在组织已落实风险管理计划的调查对象当中近一半在设计应用程序时就具体规定了安全功能。在没有落实风险管理计划的调查对象当中，只有22%专注于代码的安全性。

　　我们需要这次安全调查带来的那种震撼。21%的公司从来没有进行过安全风险评估；而在进行过这项工作的公司当中，只有五分之一严格使用了专业的外部审计人员。尽管63%的公司需要满足与数据安全有关的政府或者行业法规，但其中许多法规并没有为如何遵守提供充分的指导。在这类灰色地带，最佳实践是最佳防御之道。

　　公司还没有及时部署加密技术，以此保护客户和员工的数据。我们原先希望，不断发生的一系列重大数据丢失事件会让大多数公司开始积极采取综合的隐私保护措施。所以我们发现一半以上的公司为了保护客户数据而采取的惟一措施居然就是向员工告知安全标准、在网站上发布隐私政策，觉得灰心丧气。这些是正确步骤，但并不排斥需要加密（只有34%的公司采用了加密）或者需要隐私政策审计（只有25%的公司采用了审计）。让人震惊的是，11%的公司表示没有隐私方面的防范措施来保护客户数据。任何措施都没有。

　　投资能得到怎样的回报？

　　没必要责怪掌握财务大权的人员或部门。对近30%的调查对象来说，安全这一块至少占了IT总预算的11%。但坏消息是：各种病毒、网络钓鱼攻击和蠕虫在继续兴风作浪，让人头痛不已；许多公司不断把钱砸入到防火墙和反病毒保护技术上。由此猜测这些产品类别会销声匿迹，或者至少会被并入到其他技术，未免为时过早，因为13%的调查对象表示，就容易遭到安全泄密和恶意代码攻击的程度而言，今年与去年一样，甚至还要糟糕。防火墙和反病毒保护是一半以上的调查对象认为很有效的惟一两个产品类别。
 
　　罪魁祸首是谁？复杂性，62%的调查对象提到复杂性是最大的安全挑战。如今，更多的数据出现在网络上；更多的代理程序在公司计算机上运行，员工们期望对自己使用的个人电脑拥有一定的控制权；随着出差和能源成本急剧攀升，公司越来越多地采用分支机构和远程员工，这一潮流使得数据到处分布，因为人们期望能够从客户现场、家里或者街道那边的咖啡店安全办公。
 
　　复杂性还源于需要同时满足多项法规遵从需求、对员工和用户进行安全意识方面的培训和教育，以及应对技术越来越复杂的网络。
 
　　大多数公司（63%）必须遵守一项或者多项政府或行业法规，其中许多法规措辞含糊，并没有给出具体的指导表示可以采用哪些技术来满足需求。为了满足法规遵从方面的目标，美国政府部门的信息系统安全办公室项目经理Kevin Sanchez Cherry表示他运用了最佳实践；他所说的最佳实践是指咨询众多有关方，包括美国国家标准与技术研究所（NIST）、SANS Institute、以及面临类似挑战的同行。由于实施了最佳实践，他不需要把大量时间用在使多项法规遵从需求规范化上。
 
　　我们从来不缺攻击者，也从来不缺期望向我们推销解决方案以赶走攻击者的厂商。可问题是，旨在缓解安全问题的产品大多数针对范围比较狭窄的一批威胁，所以有许多竞争性的技术可供选择。要对付众多系统上种类越来越广泛的威胁，仍需要一大批这样的单点产品。这对厂商们来说是好事，但对IT人员来说是坏事。
 
　　毫无疑问，我们正面临迅速增加的一大批威胁，从外部攻击者、不怀好意的员工到授权用户，不一而足。虽然比较让人害怕的是那些身份不明的计算机犯罪分子，但内部用户却是最大的威胁，这是因为他们得到公司的信任，拥有访问权，而且了解内情。个别内部用户会另有私心，但极可能发生的一幕是：毫不知情的员工受骗上当后，透露了公司机密，或者导致泄密事件发生，而他们的本意是想起到帮助作用。这种威胁很难对付，哪怕采用严格的流程和员工安全意识计划也收效不大。足足35%的调查对象表示通过培训来阻止员工共享密码效果不大，或者完全没有效果。只有38%的调查对象认为，自己能够成功地阻止员工上社会工程学伎俩的当。

　　Sanchez Cherry提议使用与目标受众切身有关的实际案例，能够让对方具体了解问题所在。比方说，2006年，退伍官人管理署的一名员工丢失了含有私人信息的一台笔记本电脑。这个典例可以表明一名出于好意的员工也有可能导致数据丢失。对Sanchez Cherry这样的人来说，就可以趁此机会反复强调，让人牢记教训。

　　风险管理是解决之道

　　法规遵从难题、更广泛的攻击途径、容易上当的最终用户。IT负责人应当如何是好？大致上来说，信息安全工作要有所侧重，最好的办法就是不要再去考虑漏洞，而要开始考虑风险。没有哪家公司堵得住每一个漏洞，因为缺乏足够的资源，也从来不会有足够的资源。就算拥有无限的预算，威胁格局也在不断变化。

　　简单说来，风险就是你因某项活动而蒙受损失的可能性。风险管理方法使用人员、流程和产品来降低发生不妙事件的可能性；如果真的发生，就尽量减小损失。从IT的角度来看，这不仅仅是落实安全政策——接受调查的公司当中差不多54%如今设法落实了安全政策。

　　IT人员需要不走常规路，对自己进行培训，以便关注数据价值以及数据受到危及的可能性，而不是关注如何可能受到危及。明白如何受到危及固然很重要，但一旦数据泄露出去，就没有办法把它收回来。

　　使用风险评估的做法相当广泛，79%的调查对象在采用这种做法，不过不是所有公司随后充分利用评估结果。在进行评估的公司当中，76%用来制订安全政策，但只有41%用来帮助采购和规划。

　　当然，不是说你非得是MBA才能知道风险评估牵涉的不仅仅是IT和数据安全。许多公司推出新产品、管理营销预算、进行资本投资时，一直在运用风险分析。IT团队需要运用自己公司里面的这种知识和见解。

　　美国电气保险公司（Electric Insurance）的系统工程与支持经理Michael Hannigan表示，该公司把大约20%到25%的项目规划时间用在了风险分析和管理上。因为从规划到后期制作的整个流程都包括了风险分析环节，Hannigan发现能够及时找出潜在问题，并加以解决。事后补救问题的成本要比在设计阶段解决问题高得多。就拿美国电气保险公司来说，风险管理已成为其公司文化的一部分——这对金融公司来说不足为奇。我们都应当这样积极主动。

　　风险评估的大笔先期成本主要会来自分析资产和风险；确定项目、产品线和服务的价值；然后列出每个类别的风险。不过一段时间过后，这个流程会带来回报。

　　Hannigan说：“你一定要有战略。像身份管理和密码管理这些重大的IT项目实施起来成本非常高昂，但你希望三五年过后得到怎样的结果、什么才是最简单的捷径？你不希望出现多个安全孤岛。你希望标准化、不背离那些标准，除非存在诱人、合理的原因需要偏离标准。”

　　为了证明繁荣的安全产品市场，我们询问采取了哪些措施来缓解风险时，72%的调查对象提到的第一个答案就是运用技术来解决问题。这本身没什么不对——技术问题需要技术方案来解决，但你要把它与一些更有战略性的非技术方案作比较：只有18%的调查对象对敏感数据实行了基于角色的访问机制。

　　考虑到针对性的风险管理需要大量精力和资金，评估日常流程的成功就至关重要。60%的调查对象使用内部审计来评估风险管理项目是不是在取得成效；近一半的调查对象使用法规遵从来评估成效。但这些步骤没有一项与请渗透测试专家来进行破坏测试那样来得有效，金融服务公司注意到了这一点；其中69%评估独立审计的成效。总的来说，取得成效的比例只有43%。

　　谁控制、谁负责所有这些预算费用呢？在63%的公司当中，IT预算资助风险管理项目，而这适用于各行各业。更值得关注的是，制订风险管理计划的公司当中69%表示，从长远来看，这种方法可以为自己节省费用。只有22%的公司表示，风险管理项目会不断消耗预算。人们常想到风险管理方面的永久成本，上述调查结果倒是让人耳目一新。

　　虽然我们没有询问可以从哪些方面节省成本，但可以从其他问题推断出可以取得哪些成效。风险评估主要用于制订风险缓解政策、堵住安全漏洞；这可能会提高流程效率，比如利用数据库简化资产管理和政策遵从。相似的是，明白漏洞来源、查明根源可以提高整个公司的效益。法规遵从也通常会得益于风险管理，无论是加强基础设施安全和存储管理，还是加强身份管理和文档记录流程。

　　最后的结论就是，风险评估的初期成本可能看似很高，不过一些长远效益使得这笔成本是值得投入的，比如简化数据管理、记录现有流程，更不用说实际提高数据安全了。

　　链接：SaaS帮助降低安全成本和复杂性