根据普华永道发布的《2015年全球信息安全状况事件调查》中的数据,2014年,网络信息安全事件导致中国大陆与香港企业平均财务损失激增33%。而仅在中国大陆与香港地区,失窃的知识产权或者商业机密的价值已经远超10亿美元。
毋庸置疑的是,信息的安全性,已经成为企业运营中一个不可忽视的风险来源。对于信息安全的重要性,规模以上企业的经营者都应该有着清醒的认识。
为了提升企业信息的安全性,企业持续大量的投入资源进行信息安全风险防范,雇佣大批的安全人员,不断购买大量最新的安全产品,发布大堆的安全制度。
举个例子,公司A为了避免自己的员工泄露公司的商业秘密,部署了终端外设的管控系统,对员工的外设使用情况进行监管。
随后发现,员工除了使用U盘拷贝,还可以通过网络外发公司的资料。于是公司继续部署网络内容监控系统,设置网络权限禁止员工通过网络发送内容。
但是不久又发现员工可以通过打印的方式将公司的资料直接带出公司。于是乎公司再次部署文控打印系统,安排人员对员工的打印行为进行审计和监控。
原本想现在可以万事大吉了,却又发现有员工通过手机拍照等方式将资料带出公司。为了保护公司商业秘密,公司不得不再次发布制度,严谨员工携带有拍照功能的手机进入公司,并部署了物理监控设备和审计小组。
然而,有不良企图的员工仍然可以通过记忆,采取蚂蚁搬家的方式将公司的财务数据、商业情报等泄露出去……
结果可想而知,企业的信息安全治理成本不断升高,因为信息安全治理而带来的直接投入不断增加。此外,由于各种信息安全治理要求的落实,大幅的降低了企业经营运作的效率,进一步削弱了企业的竞争力。
这里就涉及到一个企业信息安全治理ROI的问题。信息安全治理本身是企业经营的一部分,企业的信息安全负责人必须要有清晰的经营意识。
传统意义来讲,信息安全治理的投入成本必须要小于所要保护的企业信息资产的价值以及所要保护的信息资产C.I.A.属性悲破坏时给企业带来的损失。
个人认为这一观点并没有什么错误,唯一需要强调的是,如何界定投入的成本。这里的成本除了包括直接投入的成本以外,还必须要包含由此带来的一系列间接成本,主要包括:
-
因信息安全技术手段带来的工作效率下降;
-
因信息安全管理要求导致的员工满意度下降;
-
因信息安全治理导致的跨部门沟通成本上升;
-
……
这些成本往往存在着难以量化的现象,因此企业在信息安全治理实务中,在选择信息安全治理措施的时候必须要经过安全部门和业务部门的双方面评估,才能最大程度的降低信息安全治理给企业带来的不必要管理成本上升。否则,企业的信息安全治理将很容易陷入管理的丛林里,最终“伤人伤己”。
关注SHIELD的胡言乱语,请扫描二维码
