去年6月,犹他州大学医院聘雇的快递人员,开了自己的车护送磁带到异地储存中心,结果这批包含2,200万名病患账单资料不翼而飞。去年8月,有11名黑客透过无线网络入侵TJX等零售业者的系统,当时有4,000万笔信用卡与现金卡卡号被窃。今年2月EDS承包Medicaid理赔处理专员承认犯下盗卖客户身分证号码与生日数据,以冒领退税金…。以上这些新闻都凸显了一个事实:企业花了大钱投入信息安全防护,但是资安事件仍然层出不穷。
CIO美国版与PricewaterhouseCoopers合作,所进行的第6届“全球信息安全大调查”,访问了全球7,097名业务与技术部门主管。调查结果显示,虽然今年低迷的景气,迫使企业决策者对任何预算提案都更加保守,但企业还是继续购买、导入资安解决方案,包括入侵检测软件、加密和身分管理等等。
但是令人担忧现象还是存在,例如:56%的受访者聘雇了CxO层级的安全主管,比去年下滑4%。许多企业都会检查网络log看看有无可疑活动,但只有43%的人会稽核或监控使用者有没有遵循安全政策(如果有的话)。这个数字比2007年上升6%,但还不到应有的水平。
本次调查也发现一个很严重的问题:太多企业仍然欠缺强制执行的一致化、有效的安全流程。59%的受访者说他们有“全面性的资安策略”,较去年高出2%,但这还不够多,PricewaterhouseCoopers首席顾问Mark Lobel认为,“安全主管的层级越高”及“制订有效的资安策略”是降低资安事件发生率的两项关键。
由CIO、CSO杂志及PricewaterhouseCoopers所共同合作的“全球信息安全调查”,是于2008年中旬在在线执行。全球CIO与CSO杂志的平面与网络读者,以及PricewaterhouseCoopers客户被邀请参加问卷调查。本报告是依据100多国,7,097名安全专家的意见调查而成。想深入了解目前全球资安现况,不可错过本期“全球资安大调查”报导。