|
2002年,60%的亚洲企业报告了信息安全遭到破坏的事件,2003年这个数据更是上升到77%。随着经济的全球化浪潮,企业对信息网络的依赖性越来越强,信息安全问题也随之日显重要。
信息安全性越来越重要,而网络攻击日益猖狂,照理说在这样的环境下信息安全问题应该受到CEO的特别关照,但是Ernst & Young
全球信息安全调查结果却让我们大跌眼睛:70% 企业不曾监督过外包企业的安全是否符合雇主标准;80%
未曾评估外包是否符合法令标准。为什么调查结果和我们的预期大相径庭?
笔者认为可以从以下几个层次来看:
国内外不一样的外包环境
从上世纪80年代后期开始,一股由美国刮起的“外包”之风,逐渐蔓延到日本、欧洲,成为全球企业界的一股潮流。经过十多年的发展,国外的外包市场已经比较规范与成熟,关于外包的法律法规比较健全,外包服务提供商的能力也有了很大的发展。国外的外包如此风靡离不开法律法规的支持。外包业务的增长促使外包服务提供商的发展壮大,而外包服务提供商的强大进一步促进了外包市场的红火。
国内外包市场的不温不火正是因为外包大环境的不完善造成的:对外包市场进行规范的相关法律法规还比较缺乏,外包服务提供商实力不够,用户对外包的认知度比较低。企业非核心业务的外包,尤其是IT业务的外包,将令其他企业有可能接触到一些敏感的企业信息和资料,从而增加了对信息控制的难度。比如说外包方缺乏诚信,或其内部缺乏良好管理,可能导致企业信息外泄,而这些信息可以方便竞争对手了解企业的信息和动态,使其处于不利地位。所以,在外包时需要选择可靠的供应商和建立良好的信息保密机制,并且需要健全的法律规章制度来保障。
正是因为外包大环境的成熟,Ernst &
Young的调查结果是八成企业CEO不过问外包信息安全性。笔者认为,企业在选择外包服务提供商的时候,要签署一定的安全保密协议保障企业的信息安全,同时也要考虑对方的能力。另外,笔者并不建议企业自身用很大的投入建立安全小组保障外包的信息安全性,因为外包的目的之一就是节约成本,企业自身的安全防范能力有限,有限的安全防范能力在网络攻击面前是“道高一尺,魔高一丈”。外包服务提供商本身具有规模效应,对安全防范有较大的投入保证客户的信息安全性,而通过合同约束外包服务提供商的行为则是最佳选择。
这是一场只输不赢的游戏?
企业为信息安全工作投入了大量的精力和资源,尽量把安全工作做完善,但是这巨大的投入或许换回的只是一句轻描淡写的话语:这是你应该做的,凭啥还拿出来炫耀呢?对于公众来说,企业的信息安全工作类似于郝茨博格的双因素理论中的保健因素,做的好是应该的,并不会促使企业的股票大涨,但是没有做好那就是出了大问题,让你股票连续几个跌停也不甚为过。
况且,企业信息安全工作是个无底洞,无论投入多少人力物力财力,只能说对安全工作比较重视,但是谁敢夸海口说“我们的系统无懈可击”?毫无疑问,微软公司肯定拥有世界上最先进的软硬件设施和顶尖水平的工程来保护他们的信息安全。尽管微软积极努力地营造防御工事,然而它也不能做到绝对的安全无缝,它也有被苍蝇叮上的记录,微软内部的机器曾多次被病毒感染。而且,如果企业的安全工作做的比较完善并且远近闻名,那企业的系统则会成为成千上万黑客攻击的目标,其中绝大多数只是为了证明自己的网络攻击能力,就像微软公司全球网络,每天遭受尝试攻击50万次。
谁对我们的安全负责?
对于大部分的企业CEO来说,外包的本身只是企业的非核心部分,而CEO本身对于安全技术不甚了解,所以对于外包信息安全性较少关注,或者是关注了但不会大肆宣扬。笔者认为,对CEO来说,信息安全方面最重要的是找一名合适的CIO负责企业的信息安全工作。而企业在外包项目的时候,由于CIO们常常沉迷于日常工作之中,很容易只见树木不见森林,致使他们缺乏战略上的考虑,因此最好引入“甲方咨询”。甲方咨询公司有一支专业素养较高的队伍,因为没有自身的产品,立场相对中立,其咨询的对象也不是具体的IT项目,而是CIO们,其咨询的目标与CIO要达到的目标保持高度一致。
最后,笔者强调一点:安全是靠管理出来的。虽然说大部分CEO的不精通安全技术,但是CEO的核心能力在于战略和管理。可以让CIO领导一个小组制定企业的安全策略,然后让CEO和董事会审批,建立一整套安全机制和规章制度来保障企业的信息安全。
文/
AMT研究院
张丽锋
|
