賽門鐵克公佈全球2010年企業安全現況研究報告結果,這項研究發現42%的企業組織將安全列為其應解決的首要問題。此結果並不令人感到意外,因為有75%的企業在過去12個月內曾遭受過網路攻擊,並且導致全球企業平均每年損失200萬美元。另外,受訪企業也指出由於人員編制不足、新的IT計畫使安全問題更顯重要,以及IT法令遵循問題等各種原因,使得企業安全面臨更嚴苛的挑戰。這項研究是在2010年1月針對27個國家的2100位企業資訊長、資訊安全長(CISO)和IT經理人進行問卷調查所獲得的結果。
「資訊保護現在面臨到比以往更加艱鉅的挑戰。」賽門鐵克企業安全部門資深副總裁Francis de Souza指出:「企業可以透過建立一個能更有效保護其基礎建設和資訊、執行IT政策和管理系統的資安藍圖,來提升它們在當前資訊導向環境中之競爭優勢。」
資安對於全球企業而言是一項極為重要的議題。42%的企業將網路安全視為其首要之務,其重要性勝過天然災害、恐怖主義和傳統犯罪三者的加總。在此觀點之下,企業在IT方面的活動也更聚焦於企業安全之領域。一般而言,企業IT部門平均指派120名員工處理資訊安全及IT法令遵循相關工作。企業也將「對企業IT風險作更好的管理」列為2010年的首要目標之一,並有84%的受訪企業將其列為絕對/相當重要的目標。幾乎所有受訪企業(94%)預計將在2010年於資安工作上作出改變,並有將近一半(48%)的企業預期將會進行重大改變。
企業正遭受到頻繁的攻擊。於過去12個月中,有75%的受訪企業曾遭受過網路攻擊,而有36%的受訪企業認為這些攻擊相當/高度有效。更令人憂心的是,有29%的受訪企業表示遭受攻擊的次數在過去12個月以來已出現增加的趨勢。
所有受訪企業(100%)在2009年都曾因網路攻擊而蒙受損失,其中最主要的三項損失分別為智慧財產權遭竊、顧客信用卡資訊或其它金融資訊遭竊,以及顧客個人識別資料遭竊。這些損失在92%的情況下都會增加財務上的成本。其中支出最多的前三項成本分別為生產力、營收和顧客信任感的降低。受訪企業表示每年平均支出200萬美元的費用以對抗網路攻擊的威脅。
致使維護企業安全變得更為困難的原因,包括以下幾個因素。首先,負責企業資安相關工作的人員不足,受影響最深的領域為網路安全(44%)、端點安全(44%)和訊息安全(39%)。其次,企業所實施的新計劃或行動,也讓企業安全防護變得更為不易。從安全的角度來看,IT人員認為對安全造成最大問題的相關計劃包括基礎架構即服務(infrastructure-as-a-service)、平台即服務(platform-as-a service)、伺服器虛擬化、端點虛擬化(endpoint virtualization)和軟體即服務(software-as-a-service)。最後,IT法令遵循也是一項艱鉅的任務。一般企業平均會考察19項不同的IT標準或架構,而其平均實施的數目則為8種。最常見的標準包括ISO、HIPAA、沙賓法案( Sarbanes-Oxley)、CIS、PCI和ITIL。
賽門鐵克企業安全部門資深副總裁Francis de Souza表示:「阿布達比商業銀行 阿聯(Abu Dhabi Commercial Bank)是一個很好的企業範例,該銀行實施了一項有效的安全策略,並特別強調主動出擊、防範於未然的重要性。這家企業擁有完整的產品和服務解決方案,能夠在固定的年度成本下,提供全年無休的保護、威脅監控和即時回應。這樣的方式比等到網路遭受入侵後再加以保護的做法,更具成本上的效益。」
企業組織需要透過保護其端點、訊息和網路環境來保障其基礎架構。此外,保護重要內部伺服器和執行備份和復原資料的能力也都是企業的當務之急。企業組織需要擁有資料可見度和安全情資以便對威脅作出迅速的回應。
IT管理人員需要採取以資訊為中心導向的方式保護資訊及互動性,才能對資訊提供主動的保護。企業必須採取內容偵測導向(content-aware )的方式來保護資訊,才能夠知悉敏感資料的儲存位置、誰擁有存取這些資料的權限,以及這些資料是以何種方式進出組織。
企業組織需要建立並執行其IT政策,並自動化法令遵循流程。透過排定風險的優先順序,以及定義包含所有地點的資安政策,客戶可以透過內建的自動化和工作流程執行政策辨識威脅,並能在資安事件發生時進行補救,甚至防範於未然。
企業須透過實施安全作業環境、派送和執行修正程式層級、自動化流程以提升效率,以及監控與報告系統狀態等方式來做好系統管理。