【51CTO.com 獨家譯稿】貴企業(yè)對自己的安全計劃抱著什么樣的態(tài)度？最近發(fā)布的一份安全調(diào)查報告表明，說到風險管理方面，還是有太多企業(yè)把頭埋在沙子里，逃避現(xiàn)實。

不法分子變得更狡猾了。無論他們是認識到要破壞世界、推進其議程，另一個辦法就是破壞像美國這些發(fā)達國家經(jīng)濟穩(wěn)定性的恐怖分子，滿腹牢騷的企業(yè)內(nèi)部人員，還是主要出于牟利動機的"普通"犯罪分子，現(xiàn)在的網(wǎng)絡犯罪活動越來越多，造成的經(jīng)濟損失也越來越大。在信息技術安全界，近來大家在熱議2010年7月發(fā)布的《網(wǎng)絡犯罪成本基準調(diào)查》；這項調(diào)查是由安全咨詢機構波耐蒙研究所（Ponemon Institute）開展的，對美國公司作了典型抽樣調(diào)查。這家咨詢機構經(jīng)常開展隱私、數(shù)據(jù)保護和信息安全政策等方面的獨立研究。

波耐蒙研究所通過典型抽樣調(diào)查似乎竭力想表明的一點是，企業(yè)風險管理（ERM）需要加強，特別是由于它與IT密切相關；許多公司在這方面還是很松懈，仍然抱著壞事不會發(fā)生在自己身上的態(tài)度。波耐蒙研究所這份長23頁的報告可從其網(wǎng)站上下載（http://www.ponemon.org/index.php），不過下面是分為七個要點的概括性總結(jié)，還有本人的拙見，表明信息安全與貴公司的處境可能有著怎樣的關系。

與事先采取措施，加強環(huán)境安全所需的成本相比，網(wǎng)絡犯罪活動造成的損失高得多。

[[18402]]

該調(diào)查聲稱，對于受網(wǎng)絡犯罪影響的公司來說，響應成本平均是每年380萬美元。而原本有望有效減少或防止同樣這些事件的技術和流程所需的成本一般不到其三分之一。換句話說，而且相當明顯的是，在大多數(shù)情況下，與事件/泄密發(fā)生后啟動臨時性的響應程序相比，事先規(guī)劃和緩解風險所用的成本要低得多。

而更為重要的是，確保成功的一個關鍵因素是，指定一位高層主管負責企業(yè)風險管理，可以是首席安全官，指定一名首席風險官更好。這位主管常常獨立地直接向董事會報告，真正了解整個企業(yè)的情況，而不是僅僅注重技術，他能適當?shù)卮_保：風險管理這一塊在許多項目或計劃的一開始就"集成到里面"，而不是事后才想到，隨隨便便"擴充上去"。另外，隨便將IT安全和風險管理這項工作托付給另外某個業(yè)務部門的某個"下屬"，這個下屬還不是專門負責這項工作，那樣很快會招來大麻煩。

此外，制定和推廣一項企業(yè)風險管理戰(zhàn)略，遵守自愿治理/認證框架——如信息基礎設施庫（ITIL）、國家標準和技術研究所（NIST）安全指導等，似乎既能大大減小發(fā)生網(wǎng)絡犯罪活動的可能性，還能大大降低處理網(wǎng)絡犯罪事件的總成本。#p#

網(wǎng)絡犯罪無孔不入，而且越來越常見。

你會問為什么這樣？許多公司似乎抱著一種漫不經(jīng)心或驕傲自滿的態(tài)度，至少私底下是這樣，經(jīng)常有類似的想法："我們的安全工作已經(jīng)夠好了"，"我們已經(jīng)做得比競爭對手更好"，"那些要求對于我們不適用"等等。從好幾個方面來看，這些頑固的態(tài)度是完全錯誤的！

[[18403]]

貴公司又如何呢？同樣，要知道做到符合任何標準或法規(guī)，未必意味著安全無憂！與企業(yè)風險管理一樣，IT風險管理（信息安全、業(yè)務連續(xù)性/災難恢復、法規(guī)遵從和治理）也是一項不斷改進的計劃，不僅僅是"一旦搞好，就不用管"的項目。另外就是有利也有弊的社交網(wǎng)絡；社交網(wǎng)絡既是企業(yè)尋求潛在增長的最佳途徑，也是有人搞破壞的最佳渠道。一些分析師估計，30%的企業(yè)帶寬是被社交網(wǎng)絡流量消耗掉的。

一些支持者認為，Twitter和LinkedIn等社交網(wǎng)絡可起到幫助企業(yè)擴大服務范圍的作用?，F(xiàn)在一些IT廠商就是通過社交媒體網(wǎng)站來提供支持的。此外，公關和營銷團隊看到了社交網(wǎng)絡在開展促銷活動方面所具有的價值。對于許多公司的公關活動而言，YouTube正在變成一種更主流的平臺。

不過，盡管這一切是不爭事實，但社交媒體也可能為各種病毒、惡意軟件以及讓員工分心從而影響工作效率的東西提供了一條便利通道；員工最后可能會未經(jīng)相應授權，就在社交網(wǎng)站上擅自討論敏感或?qū)Ｓ械男畔ⅰ４送?，競爭對手和收債人現(xiàn)在也使用這些信息來源，核查公司的員工。

經(jīng)濟損失最嚴重的網(wǎng)絡犯罪活動是由互聯(lián)網(wǎng)攻擊和惡意內(nèi)部人員造成的犯罪活動。

貴公司使用或托管多少個面向Web的公共網(wǎng)站？你與云環(huán)境連接的通道又如何？有沒有通過嚴格的滲透測試或開放Web應用安全項目（OWASP）編碼規(guī)范，對任何這些網(wǎng)站進行核查？得到公認的更安全的實踐表明，我們應該每個季度進行一次OWASP掃描，每年進行兩次滲透測試。貴企業(yè)的變更管理流程多可靠？另外，有沒有考慮過"誰來監(jiān)管監(jiān)管者"的問題？企業(yè)內(nèi)部有沒有針對特權訪問帳戶的審計和日志機制？盡量減少這類潛在漏洞需要遵循企業(yè)層面的威脅和風險管理戰(zhàn)略，協(xié)同實施安全信息事件管理（SIEM）、數(shù)據(jù)泄密防護（DLP）、基于主機的入侵防護系統(tǒng)（HIPS）等其他多項技術。#p#

一遭到攻擊，迅速解決是降低經(jīng)濟損失的關鍵。

據(jù)這個基準調(diào)查樣本顯示，要是不迅速解決，網(wǎng)絡攻擊造成的經(jīng)濟損失還要大。該報告顯示，解決網(wǎng)絡攻擊平均需要14天；而企業(yè)蒙受的經(jīng)濟損失每天高達17696美元！想想這樣的經(jīng)濟損失給貴公司的利潤會帶來怎樣的影響？

調(diào)查顯示，要解決惡意內(nèi)部攻擊，需要長達42天或更久。這樣的代價表明，面對如今的復雜攻擊，需要迅速解決。雖然這項研究沒有提到名譽受損（也就是成為新聞頭條的風險）造成的高昂經(jīng)濟損失，但你的確需要考慮到這點。比如說，除了面臨官司和經(jīng)濟懲罰外，要是貴公司被發(fā)現(xiàn)違反了更嚴格的個人身份信息（PII）保護法，比如加利福尼亞州、馬薩諸塞州或歐盟的相關法律，會面臨什么樣的后果？

企業(yè)因失竊而丟失信息帶來的外部經(jīng)濟損失最高，其次是與企業(yè)運營受到中斷有關的經(jīng)濟損失。

[[18404]]

報告還提到，就一年而言，信息失竊占了外部經(jīng)濟損失總額的42%。與業(yè)務受到中斷或生產(chǎn)力下降有關的經(jīng)濟損失占了外部經(jīng)濟損失的22%。報告隨后還表示，公司規(guī)模變得越大，它們面臨的潛在風險也會變得越高。伴隨這些經(jīng)濟損失而來的是，因負面新聞和客戶/股東信心下降這"二次災難"所造成的費用和名譽受損。這時候，一項完備的、事先規(guī)劃的危機溝通計劃真的有助于力挽狂瀾。

察覺事件/泄密以及之后恢復如初是成本最高的內(nèi)部活動。這還意味著，這些方面的投入可能是最容易被忽視的方面，由于這方面所需的成本比較高。不妨了解一下事實真相：如果沒有實際投入資金，或者投入很少，而高層主管又沒有抽時間用在風險管理上，或者所抽的時間很少，那么你擁有的只是另一項名存實亡、形同虛設的計劃。一旦釀成嚴重后果，只好聽天由命了?，F(xiàn)在我們開始聽到另一個花招：一些公司在耍這個花招，避開積極承擔應有關注（due care）這個責任的要求。雖然一些公司在為企業(yè)風險管理以及/或者信息安全"編制預算"，但從來沒有實際投入這筆錢。要不就是，一些公司聲稱自己在繼續(xù)研究更新的技術，但不是研究數(shù)周或數(shù)年，而是研究過程長達數(shù)年！一些監(jiān)管部門和保險公司注意到了這點，要是安全事件是因投保人疏忽而引起的，甚至還會指控欺詐罪名或者拒絕理賠。#p#

所有垂直行業(yè)都很容易出現(xiàn)網(wǎng)絡犯罪活動。

這份報告表明，網(wǎng)絡犯罪的年均成本似乎大不一樣，具體取決于所在的行業(yè)領域；國防、能源和金融服務行業(yè)的公司蒙受的經(jīng)濟損失高于零售、服務和教育行業(yè)的公司。不過，所有垂直行業(yè)都受到了不利影響，而且越來越頻繁地受影響。

在過去的五年間，越來越多上報的企業(yè)災難并不是天災造成的。而是許多公司有意承擔風險（不管是不是被動）造成的，而有些風險顯然是不應該承擔的。保險公司注意到了這點。它們在發(fā)放保單和進行理賠之前，越來越多地要求投保人進一步證明給予了應有關注，并進行了盡職調(diào)查。政府現(xiàn)在也注意到了這點！

有消息稱，聯(lián)邦政府可能很快會進一步就私營行業(yè)的風險管理發(fā)表觀點，特別是由于風險管理與IT密切相關。這里的前提是，如今IT被廣泛認為是現(xiàn)代高度互聯(lián)的經(jīng)濟體中關鍵任務基礎設施的一個組成部分；而非政府實體在自愿遵守得到公認的風險管理實踐方面做得差強人意。目前正在積極討論的是更加嚴格的安全框架，比如支付卡行業(yè)數(shù)據(jù)安全標準（PCI-DSS），可能作為所有公司（有一定規(guī)模/收入額）在"應有關注"方面新的最低標準。

[[18405]]

所以，下次貴公司考慮預算方面的事宜時，也許應該至少鼓勵你的IT部門考慮專門為此撥出一些額外資金--起碼用于全面評估整個企業(yè)的安全狀況。只要花比較少的費用，就可以對現(xiàn)有的工作人員進行培訓，甚至讓其獲得認證，熟悉如何進行全面的評估。不過有個問題要注意。與客觀獨立的第三方機構相比，現(xiàn)有的內(nèi)部人員常常有點疲憊不堪，評估時不大客觀公正。

理想情況下，公司應該定期進行內(nèi)部評估，并著眼于收集和分析企業(yè)內(nèi)部的評估結(jié)果。接下來的一步是，聘請有資質(zhì)的外部機構來進行類似范圍的另一番評估，確保能夠準確地了解情況。外部機構還能提供獨立的專長，以確定風險管理和IT安全投資方面的主次之分。這樣一來，貴企業(yè)就可以更準確地了解自己的處境，需要怎樣投入，確保貴公司沒有在亂冒險，免得因安全事件而登上頭條，以及/或者可能給這個國家增添安全漏洞。

原文鏈接：http://www.csoonline.com/article/654216/7-cyber-crime-facts-executives-need-to-know

【51CTO.com獨家譯稿，非經(jīng)授權謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請注明原文出處及出處！】

【編輯推薦】

1. 與僵尸網(wǎng)絡等無形的威脅做斗爭的11種方法
2. 混合安全方案應對越來越模糊的安全界線
3. 霧里看花 如何選擇真正的萬兆防火墻
4. 國外黑客劫持某網(wǎng)游玩家數(shù)據(jù)威脅服務商