Frank Scavo是美国一家名为计算机经济(Computer Economics)调查咨询公司的董事长,他组织了这次调查。他说到“我想我们大家都非常清楚IT安全是一个热门话题,但是那并不能调动起人们自动或者自发地去投资任何与IT安全有关的产品。目前,IT安全投资仍然遭受到正常预算的约束,美国产业工会联合会(Congress of Industrial Organizations, 简称CIO)每天都要面对这个问题。”
在CE的第二个年刊“IT安全研究”中也指出,即使大型公司在IT安全方面平均花费他们关于IT预算的2.5%,也只有56%的被调查人员认为这个数字可以了。
Frank Scavo说到“我们推测较大型的公司在采取最优行动或者采取新技术的时候会面临公司传统体制的限制,而中型公司在那些方面恰恰更加灵活。在某些情况下,大型公司要改变其管理习惯就象是去扭转一条海岸线一样困难。”
这项调查指出,勿庸置疑,计算机病毒、蠕虫、特洛伊木马会继续进化成新的、更危险的形式,以展开攻击。而且网路犯罪主要是针对特定行业和企业进行敲诈勒索、盗窃消费信息以及直接偷窃。
这确实让调查回答人员担心,86%的人认为在将来IT安全面临的威胁会变得更严重。即使政府已经制定了许多关于信息安全和信息保密方面的规定,但是57%的被调查人员仍然认为这些规定不足以保障IT的安全。
然而,更令人担忧的是,许多公司并没有采取基本的或者基础的管理行动以确保IT安全,特别是以下几个方面:
·在IT安全研究中指出,尽管每家公司都采用了防火墙来限制对内部网络的访问,但是有13%的公司没有限制对公司办公室的访问,在那里都是可以访问网络的。
·在过去的24个月里,将近20%的公司没有对IT安全进行审核。
·四分之三的公司没有限制用户使用桌面操作系统管理员权限访问或者使用根用户访问,尽管公司规模不同,这个习惯造成的后果会有很大的差异。
·令人吃惊的是,65%的公司没有为他们的员工提供定期的关于IT安全的培训。
·同样的,67%的公司没有对台式计算机进行定期的软件审核,以确保系统中不会存在未被授权的软件或者内容。
·针对这些缺陷,外部顾问似乎应该会有许多机会去协助公司改善它们的IT安全。然而,在“IT安全研究”中可以看到,在过去的12个月里,56%的公司没有利用IT安全顾问。
为此,Frank Scavo得出的结论是:“从CIO的观点来看,这正好是一个更好的根据,可以用来解释为什么他需要采取重要的措施,来确定一些网络安全的优先级别。”