论文部分内容阅读
任何大的金融机构所面临的重大挑战都是确保信任的雇员的权利与其职位要求相称的。比如,在现实世界,无论一个人在交易平台上的记录和职业道德多么模范,那个人永远也不会要求访问高管级别或高管级别保存的记录。但有时,在数字世界中,即使该人的职位没有授予其访问的权利,此等访问也可能在不经意间被允许。在雇员从公司离职后或在同一家公司中改变了职位后其数字身份仍然被保留的情况司空见惯。
身份和访问管理:
首要运营行动方案
研究表明,在雇员任职一个公司期间会为该雇员创建17个帐户,而只有平均10个帐户在该雇员离开其职位的时候,有关访问管理的另一个问题是,在公司中远远低于高管的级别的人员可能实际上在影响股东价值方面比高管本身处于更重要的地位。因为某些职位,如系统管理员,由于职位特性被授予了访问特权。因此,他们是处于高度信任的职位,但高度的信任也可能带来重大的影响。
尽管这种情况从来都不能完全避免,但关键之一是背景调查和录用标准必须反映如果一个雇员决定滥用权利而可能对他产生的影响。通常,简单的犯罪背景调查是不够的,如在一个省或州的欺诈罪可能不会在另一个省或州的简单的犯罪调查中显示,就更不用说在另一个国家了。
应用程序安全:
基本手段已不再充分
现代社会对信息交流的两大贡献是印刷机和互联网。尤其对于金融机构而言,互联网起了关键作用—对于某些金融机构,互联网是唯一的交流方式。因此,金融机构继续投资于在线应用,旨在对其客户和雇员提供安全的、无边界的、便捷的和个性化的服务。但网络攻击的风险和威胁经常存在。当他们成功时,金融机构经常会遭受财务和名誉上的损失,从而影响客户的信任。公司以往采用加密、访问控制和网络安全等一般保护措施,但这些基本手段在保护在线应用方面被证明是不充分的在软件开发周期中所作的决策—从用户界面设计到补丁管理设施—对安全事故发生的可能性和对它们的成功响应所产生的重要影响正在日益显现。这是一个重要的关注领域。
信息安全问题的佯谬:
“信息安全与我无关”
不经意的观察者可能会认为鉴于金融机构的业务性质,安全战略应当是规范的。我们的调查支持了这种假设。根据参与调查者的回答,安全问题在高级别人员(董事会级别:57%;高级管理层:66%)眼中是迫在眉睫的关键事项。但是,仅有63%的参与调查者拥有信息安全战略,其他参与调查者有正在起草的或计划在未来的12个月内制订信息安全战略。此外,今年仅有9%的参与调查者指出他们的信息安全战略由业务职能部门领导人领导和支持。
在这里有一个佯谬:尽管信息安全事故正在吸引企业高管和董事会的注意,但他们并不认为这些问题是厂属于他们的:在他们看来,实施解决方案是信息技术人员的使命。然而,进展已经浮现。26%的参与调查者已认识到将安全战略确立为2007年的行动方案的必要性。当被问及为何信息安全项目未能兑现它们的承诺时,近半数的参与调查者(48%)指出原因在于不断转变的优先任务(缺少一个安全战略来指引方向)。这意味着参与调查者可能开始了解战略的必要性,并意识到缺少短期和长期的路线图对于金融机构尤其有害。
数据保护:
分层方法仍最有效
随着威胁态势的不断变化,将注意力主要集中于基础设施和防范外部破坏的边界的传统信息安全方法已变得不那么有效了。随着信息安全的持续演变,商业体系也在演变;他们现在变得日益以数据为中心,而不是以系统或交易为中心。
在安全技术方面的支出正在受多种担忧的驱动。正如在今年的许多新闻和内部审计的重复发现中所披露的,大多数金融机构在他们的敏感和客户数据管理方面长久以来都存在问题。因松懈的数据保护措施导致的安全破坏事件可能对金融机构的品牌和声誉造成重大影响,对股东价值产生的影响较之实物损失更大。
如果他们不投资建设一个处理企业内各种形式信息的协同的、战略意义的信息安全程序,许多组织已经并还将继续遇到诸如如何收集、存储、管理、存档、使用和破坏敏感数据的问题。
去年的调查披露了分层方法有助于缓解风险的共识,今年这点仍没有改变。
安全破坏:
人仍是最薄弱的环节
从公司的角度看,人包括雇员、客户、第三方和业务合作伙伴。所有这些人对公司的生存都是至关重要的,并在不同程度上通过不同方式知悉公司的信息。因此,所有这些人都是风险。由于已意识到基础设施和边界已被巩固,如今高超的欺骗者不再直接攻击堡垒。他们采用更狡猾的通过人的方法。
今年65%的参与调查者报告曾重复遭遇外部破坏事件。
在考量各破坏事件时,考察以下几点会颇有帮助:1)破坏事件所针对的人群(如雇员、客户、第三方或业务合作伙伴);2)公司遭遇的破坏类型;3)破坏事件重复出现的次数(显示公司抗击破坏事件的成功度)。三大破坏事件(指重复出现次数最多的事件)是病毒和蠕虫垃圾邮件等电子邮件攻击,及网络钓鱼/网址嫁接。所有这些破坏事件都是通过客户进行的。例如一名客户收到一封拥有他们银行的台头的看似正式的电子请求,要求获取帐户信息、密码等敏感信息。一旦回复,客户就授予了欺诈者访问其个人财务数据和金融机构的权力。
非常多的参与调查者曾重复经历三大外部破坏事件显示这些破坏事件仍旧获得成功。当被问及他们是否应该对与他们进行在线交易的客户的计算机的保护负责任的时候?66%的参与调查者的回答是否定的。
这个发现不一定暗示公司对他们的客户的计算机安全漠不关心,更可能反映了处理这样一个问题是一项浩繁而艰巨的工作。再者,当被问及他们的公司是否在终端用户的互联网交易中采用了密码认证以外的措施时,仅有稍过半数(51%)的参与调查者的回答是肯定的,而41%和7%的参与调查者分别想在未来的12个月和24个月内这么做。
除了通过客户进行的破坏事件,非常多的重复破坏事件的出现可以归咎为雇员的有意行为(不当行为)和无意行为(错误和疏漏)。
鉴于这种形势,很容易理解安全培训和意识教育一直是高管最忧虑的事项。今年进阶五大优先任务的行列的原因。然而,尽管这个战略是好的,实施通常都是有瑕疵的:首先大多数培训和意识教育项目都仅直接面向内部用户(意味着客户风险范畴。最多的安全破坏事件的来源。实际上被忽视了)。
■风险
本次调查给出了一个威胁列表,要求参与调查者对未来1 2个月中的威胁进行评分(范围从0分无威胁到5分非常高的威胁)。这些威胁涵盖两类恶意外部威胁和运营威胁。
总体上来说,参与调查者认为运营威胁更为重要,这一点可从参与调查者将访问与身份管理列为2007年几大行动方案之一的事实得到证明。当被问及其对所在组织内信息系统失败根本原因的看法时,参与调查者们分别选择了人为错误(79%)、技术(73%)、第三方(46%)和运营(41%)。人为错误高居失败原因榜首,那么安全培训与意识培养成为2007年一项首要的行动方案也就不奇怪了。
日益增加的对信息技术与安全的灵活性、敏捷性和协同性方面的需求使得各种通信媒介成指数级增长,但所有这些又为新类型风险的产生开启了大门。关于内部和外部攻击,77%的参与调查者表示他们曾经历过某种形式的重复安全破坏比上年82%的调查结果有所下降。一次攻击就够糟了,更何况他们重复发生,这意味着组织面临重大风险。
当然,不会仅仅因为攻击频率就判定它的严重性病毒破坏通常比雇员破坏(有意或无意)更为频繁地发生,但到目前为止后者给组织带来的威胁更高。组织对破坏的关注,以及减轻破坏的努力,应与破坏的潜在影响成正比。
关于外部破坏,调查中有关破坏的问题要求参与调查者对某一特定破坏进行发生一次或重复发生的限定。以下发现适用于重复发生。我们注意到很有趣的一点是今年电子邮件攻击(间谍软件)位列榜首,有52%的参与调查者给出了这一答案。
■治理
由于众所周知的原因,信息安全继续吸引金融机构高级管理层的注意。身份盗用、资料泄露、帐户欺诈、网络钓鱼和许多其它的内、外部破坏事件,以及犯罪活动都成为时下的新闻,迫使金融机构对这些事件给予全心的关注。
信息安全问题不再是单纯的技术问题。信息安全与其它问题的基础。现在公众正在被卷入2007年全球安全调查的发现支持了这种效应。一个重要发现显示81%的参与调查者(远远高于以往年度的调查人数的比例)认为安全问题已作为一个重要问题引起了高管或董事会的注意。
金融机构的一个主要挑战仍是对信息安全风险的管理。这个挑战是错综复杂的,因为一方面需要对利益相关者保证风险被控制在可接受的范围,另一方面为了发展业务又承担一定风险,当然这是基于正式的决策的。虽然公司要面对极其复杂和困难的环境,但我们相信信息安全风险管理能够帮助公司来迎接这个挑战。
今年,81%的首席信息安全官指出他们要么向首席信息官、首席财务官、首席风险官及首席执行官等高管报告,要么向董事会报告,其中大多数(31%)向首席信息官报告。有趣的是在相信安全已引起高管注意的公司中,有69%要求首席信息安全官向高管报告。
随着安全行业的成熟,信息安全职能部门的使命正在被重新定义,战略活动(94%有关安全战略和规划)被更多地关注,实施和整合的基本职能(85%)被保持,运营(62%)被较少关注。随着全球化监管要求对信息安全程序推动,越来越多的信息安全领导人正在承担合规性责任(74%)。
关于公司已建立的安全模式,71%的回答是集中安全模式,而13%是混合和分散模式。
加强提供一个坚实的基础,这就是为什么战略活动(安全战略和规划)成为首席信息安全官的首要职责(94%)的另外一个原因。
有关过去的12个月内安全专员数量的变动,45%的参与调查者报告其增加了专业人员,47%的参与调查者报告既没有增加也没有减少专业人数,而8%的参与调查者报告减少了专业人员。这些数字标明了保持和加强整个安全程序的积极趋势。
当然,安全专业人员总数的增加并不一定意味着一来的安全需求的能力。30%的参与调查者报告有具备有效高效应对安全事件的所有能力的熟练员工:31%的参与调查没有比员工人数的增加和对必要技能和能力的持续关注更能证明对信息安全的严肃关注。
信息安全战略应当与企业行动方案相一致,并保持和业务需求、产生需求的动因和已制定的战略之间的紧密联系。`
身份和访问管理:
首要运营行动方案
研究表明,在雇员任职一个公司期间会为该雇员创建17个帐户,而只有平均10个帐户在该雇员离开其职位的时候,有关访问管理的另一个问题是,在公司中远远低于高管的级别的人员可能实际上在影响股东价值方面比高管本身处于更重要的地位。因为某些职位,如系统管理员,由于职位特性被授予了访问特权。因此,他们是处于高度信任的职位,但高度的信任也可能带来重大的影响。
尽管这种情况从来都不能完全避免,但关键之一是背景调查和录用标准必须反映如果一个雇员决定滥用权利而可能对他产生的影响。通常,简单的犯罪背景调查是不够的,如在一个省或州的欺诈罪可能不会在另一个省或州的简单的犯罪调查中显示,就更不用说在另一个国家了。
应用程序安全:
基本手段已不再充分
现代社会对信息交流的两大贡献是印刷机和互联网。尤其对于金融机构而言,互联网起了关键作用—对于某些金融机构,互联网是唯一的交流方式。因此,金融机构继续投资于在线应用,旨在对其客户和雇员提供安全的、无边界的、便捷的和个性化的服务。但网络攻击的风险和威胁经常存在。当他们成功时,金融机构经常会遭受财务和名誉上的损失,从而影响客户的信任。公司以往采用加密、访问控制和网络安全等一般保护措施,但这些基本手段在保护在线应用方面被证明是不充分的在软件开发周期中所作的决策—从用户界面设计到补丁管理设施—对安全事故发生的可能性和对它们的成功响应所产生的重要影响正在日益显现。这是一个重要的关注领域。
信息安全问题的佯谬:
“信息安全与我无关”
不经意的观察者可能会认为鉴于金融机构的业务性质,安全战略应当是规范的。我们的调查支持了这种假设。根据参与调查者的回答,安全问题在高级别人员(董事会级别:57%;高级管理层:66%)眼中是迫在眉睫的关键事项。但是,仅有63%的参与调查者拥有信息安全战略,其他参与调查者有正在起草的或计划在未来的12个月内制订信息安全战略。此外,今年仅有9%的参与调查者指出他们的信息安全战略由业务职能部门领导人领导和支持。
在这里有一个佯谬:尽管信息安全事故正在吸引企业高管和董事会的注意,但他们并不认为这些问题是厂属于他们的:在他们看来,实施解决方案是信息技术人员的使命。然而,进展已经浮现。26%的参与调查者已认识到将安全战略确立为2007年的行动方案的必要性。当被问及为何信息安全项目未能兑现它们的承诺时,近半数的参与调查者(48%)指出原因在于不断转变的优先任务(缺少一个安全战略来指引方向)。这意味着参与调查者可能开始了解战略的必要性,并意识到缺少短期和长期的路线图对于金融机构尤其有害。
数据保护:
分层方法仍最有效
随着威胁态势的不断变化,将注意力主要集中于基础设施和防范外部破坏的边界的传统信息安全方法已变得不那么有效了。随着信息安全的持续演变,商业体系也在演变;他们现在变得日益以数据为中心,而不是以系统或交易为中心。
在安全技术方面的支出正在受多种担忧的驱动。正如在今年的许多新闻和内部审计的重复发现中所披露的,大多数金融机构在他们的敏感和客户数据管理方面长久以来都存在问题。因松懈的数据保护措施导致的安全破坏事件可能对金融机构的品牌和声誉造成重大影响,对股东价值产生的影响较之实物损失更大。
如果他们不投资建设一个处理企业内各种形式信息的协同的、战略意义的信息安全程序,许多组织已经并还将继续遇到诸如如何收集、存储、管理、存档、使用和破坏敏感数据的问题。
去年的调查披露了分层方法有助于缓解风险的共识,今年这点仍没有改变。
安全破坏:
人仍是最薄弱的环节
从公司的角度看,人包括雇员、客户、第三方和业务合作伙伴。所有这些人对公司的生存都是至关重要的,并在不同程度上通过不同方式知悉公司的信息。因此,所有这些人都是风险。由于已意识到基础设施和边界已被巩固,如今高超的欺骗者不再直接攻击堡垒。他们采用更狡猾的通过人的方法。
今年65%的参与调查者报告曾重复遭遇外部破坏事件。
在考量各破坏事件时,考察以下几点会颇有帮助:1)破坏事件所针对的人群(如雇员、客户、第三方或业务合作伙伴);2)公司遭遇的破坏类型;3)破坏事件重复出现的次数(显示公司抗击破坏事件的成功度)。三大破坏事件(指重复出现次数最多的事件)是病毒和蠕虫垃圾邮件等电子邮件攻击,及网络钓鱼/网址嫁接。所有这些破坏事件都是通过客户进行的。例如一名客户收到一封拥有他们银行的台头的看似正式的电子请求,要求获取帐户信息、密码等敏感信息。一旦回复,客户就授予了欺诈者访问其个人财务数据和金融机构的权力。
非常多的参与调查者曾重复经历三大外部破坏事件显示这些破坏事件仍旧获得成功。当被问及他们是否应该对与他们进行在线交易的客户的计算机的保护负责任的时候?66%的参与调查者的回答是否定的。
这个发现不一定暗示公司对他们的客户的计算机安全漠不关心,更可能反映了处理这样一个问题是一项浩繁而艰巨的工作。再者,当被问及他们的公司是否在终端用户的互联网交易中采用了密码认证以外的措施时,仅有稍过半数(51%)的参与调查者的回答是肯定的,而41%和7%的参与调查者分别想在未来的12个月和24个月内这么做。
除了通过客户进行的破坏事件,非常多的重复破坏事件的出现可以归咎为雇员的有意行为(不当行为)和无意行为(错误和疏漏)。
鉴于这种形势,很容易理解安全培训和意识教育一直是高管最忧虑的事项。今年进阶五大优先任务的行列的原因。然而,尽管这个战略是好的,实施通常都是有瑕疵的:首先大多数培训和意识教育项目都仅直接面向内部用户(意味着客户风险范畴。最多的安全破坏事件的来源。实际上被忽视了)。
■风险
本次调查给出了一个威胁列表,要求参与调查者对未来1 2个月中的威胁进行评分(范围从0分无威胁到5分非常高的威胁)。这些威胁涵盖两类恶意外部威胁和运营威胁。
总体上来说,参与调查者认为运营威胁更为重要,这一点可从参与调查者将访问与身份管理列为2007年几大行动方案之一的事实得到证明。当被问及其对所在组织内信息系统失败根本原因的看法时,参与调查者们分别选择了人为错误(79%)、技术(73%)、第三方(46%)和运营(41%)。人为错误高居失败原因榜首,那么安全培训与意识培养成为2007年一项首要的行动方案也就不奇怪了。
日益增加的对信息技术与安全的灵活性、敏捷性和协同性方面的需求使得各种通信媒介成指数级增长,但所有这些又为新类型风险的产生开启了大门。关于内部和外部攻击,77%的参与调查者表示他们曾经历过某种形式的重复安全破坏比上年82%的调查结果有所下降。一次攻击就够糟了,更何况他们重复发生,这意味着组织面临重大风险。
当然,不会仅仅因为攻击频率就判定它的严重性病毒破坏通常比雇员破坏(有意或无意)更为频繁地发生,但到目前为止后者给组织带来的威胁更高。组织对破坏的关注,以及减轻破坏的努力,应与破坏的潜在影响成正比。
关于外部破坏,调查中有关破坏的问题要求参与调查者对某一特定破坏进行发生一次或重复发生的限定。以下发现适用于重复发生。我们注意到很有趣的一点是今年电子邮件攻击(间谍软件)位列榜首,有52%的参与调查者给出了这一答案。
■治理
由于众所周知的原因,信息安全继续吸引金融机构高级管理层的注意。身份盗用、资料泄露、帐户欺诈、网络钓鱼和许多其它的内、外部破坏事件,以及犯罪活动都成为时下的新闻,迫使金融机构对这些事件给予全心的关注。
信息安全问题不再是单纯的技术问题。信息安全与其它问题的基础。现在公众正在被卷入2007年全球安全调查的发现支持了这种效应。一个重要发现显示81%的参与调查者(远远高于以往年度的调查人数的比例)认为安全问题已作为一个重要问题引起了高管或董事会的注意。
金融机构的一个主要挑战仍是对信息安全风险的管理。这个挑战是错综复杂的,因为一方面需要对利益相关者保证风险被控制在可接受的范围,另一方面为了发展业务又承担一定风险,当然这是基于正式的决策的。虽然公司要面对极其复杂和困难的环境,但我们相信信息安全风险管理能够帮助公司来迎接这个挑战。
今年,81%的首席信息安全官指出他们要么向首席信息官、首席财务官、首席风险官及首席执行官等高管报告,要么向董事会报告,其中大多数(31%)向首席信息官报告。有趣的是在相信安全已引起高管注意的公司中,有69%要求首席信息安全官向高管报告。
随着安全行业的成熟,信息安全职能部门的使命正在被重新定义,战略活动(94%有关安全战略和规划)被更多地关注,实施和整合的基本职能(85%)被保持,运营(62%)被较少关注。随着全球化监管要求对信息安全程序推动,越来越多的信息安全领导人正在承担合规性责任(74%)。
关于公司已建立的安全模式,71%的回答是集中安全模式,而13%是混合和分散模式。
加强提供一个坚实的基础,这就是为什么战略活动(安全战略和规划)成为首席信息安全官的首要职责(94%)的另外一个原因。
有关过去的12个月内安全专员数量的变动,45%的参与调查者报告其增加了专业人员,47%的参与调查者报告既没有增加也没有减少专业人数,而8%的参与调查者报告减少了专业人员。这些数字标明了保持和加强整个安全程序的积极趋势。
当然,安全专业人员总数的增加并不一定意味着一来的安全需求的能力。30%的参与调查者报告有具备有效高效应对安全事件的所有能力的熟练员工:31%的参与调查没有比员工人数的增加和对必要技能和能力的持续关注更能证明对信息安全的严肃关注。
信息安全战略应当与企业行动方案相一致,并保持和业务需求、产生需求的动因和已制定的战略之间的紧密联系。`