08年安全调查：投入增多 依然不安全

简单说来，风险就是你因某项活动而蒙受损失的可能性。风险管理方法使用人员、流程和产品来降低发生不妙事件的可能性；如果真的发生，就尽量减小损失。从IT的角度来看，这不仅仅是落实安全政策——接受调查的公司当中差不多54%如今设法落实了安全政策。

IT人员需要不走常规路，对自己进行培训，以便关注数据价值以及数据受到危及的可能性，而不是关注如何可能受到危及。明白如何受到危及固然很重要，但一旦数据泄露出去，就没有办法把它收回来。

使用风险评估的做法相当广泛，79%的调查对象在采用这种做法，不过不是所有公司随后充分利用评估结果。在进行评估的公司当中，76%用来制订安全政策，但只有41%用来帮助采购和规划。

当然，不是说你非得是MBA才能知道风险评估牵涉的不仅仅是IT和数据安全。许多公司推出新产品、管理营销预算、进行资本投资时，一直在运用风险分析。IT团队需要运用自己公司里面的这种知识和见解。

美国电气保险公司（Electric Insurance）的系统工程与支持经理Michael Hannigan表示，该公司把大约20%到25%的项目规划时间用在了风险分析和管理上。因为从规划到后期制作的整个流程都包括了风险分析环节，Hannigan发现能够及时找出潜在问题，并加以解决。事后补救问题的成本要比在设计阶段解决问题高得多。就拿美国电气保险公司来说，风险管理已成为其公司文化的一部分——这对金融公司来说不足为奇。我们都应当这样积极主动。

风险评估的大笔先期成本主要会来自分析资产和风险；确定项目、产品线和服务的价值；然后列出每个类别的风险。不过一段时间过后，这个流程会带来回报。

Hannigan说：“你一定要有战略。像身份管理和密码管理这些重大的IT项目实施起来成本非常高昂，但你希望三五年过后得到怎样的结果、什么才是最简单的捷径？你不希望出现多个安全孤岛。你希望标准化、不背离那些标准，除非存在诱人、合理的原因需要偏离标准。”

为了证明繁荣的安全产品市场，我们询问采取了哪些措施来缓解风险时，72%的调查对象提到的第一个答案就是运用技术来解决问题。这本身没什么不对——技术问题需要技术方案来解决，但你要把它与一些更有战略性的非技术方案作比较：只有18%的调查对象对敏感数据实行了基于角色的访问机制。

考虑到针对性的风险管理需要大量精力和资金，评估日常流程的成功就至关重要。60%的调查对象使用内部审计来评估风险管理项目是不是在取得成效；近一半的调查对象使用法规遵从来评估成效。但这些步骤没有一项与请渗透测试专家来进行破坏测试那样来得有效，金融服务公司注意到了这一点；其中69%评估独立审计的成效。总的来说，取得成效的比例只有43%。

谁控制、谁负责所有这些预算费用呢？在63%的公司当中，IT预算资助风险管理项目，而这适用于各行各业。更值得关注的是，制订风险管理计划的公司当中69%表示，从长远来看，这种方法可以为自己节省费用。只有22%的公司表示，风险管理项目会不断消耗预算。人们常想到风险管理方面的永久成本，上述调查结果倒是让人耳目一新。

虽然我们没有询问可以从哪些方面节省成本，但可以从其他问题推断出可以取得哪些成效。风险评估主要用于制订风险缓解政策、堵住安全漏洞；这可能会提高流程效率，比如利用数据库简化资产管理和政策遵从。相似的是，明白漏洞来源、查明根源可以提高整个公司的效益。法规遵从也通常会得益于风险管理，无论是加强基础设施安全和存储管理，还是加强身份管理和文档记录流程。

最后的结论就是，风险评估的初期成本可能看似很高，不过一些长远效益使得这笔成本是值得投入的，比如简化数据管理、记录现有流程，更不用说实际提高数据安全了。 

链接：SaaS帮助降低安全成本和复杂性

中小企业通常面临与信息安全有关的两大“顽疾”：一是缺少充足时间，二是缺少专业团队。对它们而言，SaaS安全有望成为解决之道。

所有公司领导都密切关注确保本公司的安全。小企业与大企业有分歧的地方在于，如何进行规划及采取行动，从而挫败安全威胁。小公司向来极其缺乏资源，这就缩小了可供选择的余地，迫使业务和IT决策者努力为一系列安全策略和对应措施确定优先级，以此获得最高的投资回报。

中小企业通常面临与信息安全有关的两大“顽疾”：一是缺少充足时间，二是缺少专业团队。对它们而言，SaaS安全有望成为解决之道。趋势科技公司的中小企业产品营销经理Jon Clay说：“对即使有IT人员、也缺少资源来管理安全解决方案的中小企业而言，SaaS安全再适合不过了。SaaS厂商可以借助SaaS安全为中小企业管理、维护及更新安全解决方案，提供全年365天、每天24小时的不间断服务。许多大型企业拥有充足的资源、一大批技能丰富的IT管理员以及基础设施，可以集中资源来监控自己的安全解决方案，从而确保得到及时更新、正常运行。中小企业的IT人员却很少享有这种优势，因此改用SaaS安全服务让他们得以把注意力放在其他方面上，不必为安全解决方案而担忧。”

不是只有趋势科技这家厂商看好SaaS安全具有的潜力。迈克菲、赛门铁克和Webroot及其他公司现在都提供基于服务的解决方案。调研公司Gartner在最近举行的IT安全峰会上发布的一项估计预测，到2018年，将有85%的安全智能、70%的通信安全以及65%的安全Web网关将以服务的方式来提供。

趋势科技公司的中型企业营销主管Dan Woodward认同Gartner公司的上述估计，指出电子邮件安全和Web网关是的两项，另外三项服务是终端安全、法规遵从管理以及电子商务保护。

据赛门铁克的产品管理与业务运营高级主管Chris Schin声称，几乎任何一种解决方案中的部分都可以通过SaaS模式来提供。他说：“就连端点安全这样与内部部署方案紧密相关的部分也可以通过SaaS来提供，政策管理、报告和警报等部分在云计算环境中来提供。某些解决方案确实比其他解决方案更适合使用SaaS，但其实还没有这样的解决方案：其中的一些部分无法通过SaaS解决方案来提供。”

趋势科技公司的Woodward强调，每家公司都能够得益于SaaS，无论作用只是单单保护、替换现有的保护方案，还是成为多层方法的一部分，不过他对Gartner公司列出的部署SaaS时需要考虑的几个组织因素表示了认同。有些公司不太适合部署SaaS，包括具有以下特点的小公司：

·拥有数量有限的一组集中式互联网接入点；

·远程员工的比例比较少；

·IT人员数量比较多；

·拥有高效的服务器管理运作流程；或者

·重视细粒度控制，而不是技术解决方案。

在评估SaaS方案时，决策者必须权衡不同的可变因素。拿SaaS与内部部署解决方案作比较时，需要分析总体拥有成本，而不是单单分析采购及安装成本。另外，由于服务质量决定了SaaS解决方案的价值，因此公司严格评估服务级别协议、认真审查提供商的信誉及执行能力就显得很重要。

SaaS的价值主张很吸引人，不仅适用于安全，还适用于其他商业应用；如今，越来越多的小公司在行动起来，积极使用SaaS。据调研公司AMI-Partners声称，从2004年到2007年，中型企业的SaaS采用率提高了一倍（从15%增长至30%），预计今年会继续保持这种势头；在同一期间，小型企业的SaaS采用率也从10%增长至21%。

随着更多的安全提供商提供SaaS安全解决方案，小企业会有更大的选择余地，以便经济有效地满足安全需要，从而腾出宝贵的时间和资源，致力于公司的业务发展上。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。