2012年1月11日星期三

企業難應對本地資安環境演變

本港資訊科技發達,惟商業競爭激烈,利字掛帥,資安預算往往未必是企業優先考慮。

德勤(DTTL)日前發布的《科技、傳媒及電訊行業(TMT) 全球保安研究》,便指預算與人才缺乏,將持續影響企業資訊保安應對能力;52%受訪企業資安開支,僅勉強達到,甚至低於預期水平。不過德勤中國企業風險管理合夥人顧向聖亦形容,「每當出現重大安全事件,或有業界巨頭帶頭轉型,香港企業警覺性與採納步調便迅速提升。」

立法法規推動

政府資訊保安法規日增,亦有助推動企業遵從監管要求。2011年10月,香港個人私隱專員公署出版《使用便攜式儲存裝置指引》,與《在網絡世界保障私隱—精明使用社交網站》,促企業加強保安防範。

「當前網絡威脅逐步升級,加上相關法規不斷完善,半數企業已開始考慮以聯合姿態參與網絡計畫,資訊保安將走向團隊合作。流動裝置將成企業最大保安威脅,香港智能手機滲透率高居全球前三,風險不小。雖然銀行業普遍實行嚴苛資訊保安措施,其他行業卻相對鬆散。企業IT消費化趨勢,如前線員工以私人智能手機、平板電腦作商務用途,可利用流動優勢提升競爭力,卻令企業面臨資訊保安與員工私隱雙重挑戰,多元流動平台也考驗求企業管理能力。」

流動裝置功能多元化,保安也須跨行業跨機構合作,更加大幅提升難度。

第三方成保安缺口

外包和託管服務因可減輕成本及管理負擔,近來頗受企業青睞。但第三方機構亦能如流動裝置般,為企業保安系統帶來缺口。調查顯示,60%受訪企業雖已有所警覺,卻少見行動,僅有31%的企業對第三方機構保安能力進行測試。

「企業須意識到,當他們越來越依靠第三方機構與雲運算服務供應商,對其保安要求也須與企業資安水平相當。」

同時,企業也愈發關注內部威脅。「僅倚靠資安解決方案本身,並不能完全隔絕風險,人為因素才是威脅主因。」二成受訪企業將員工失誤或疏忽列為主要威脅,17%則指員工濫用IT系統與資訊令企業易受攻擊。

身份與存取管理

德勤企業風險管理服務副總監譚銳堅說,企業加速採用新興技術,諸如虛擬化與雲運算,這些技術,保安系統往往難以及時應付IT環境演變,為IT部門帶來壓力。「身份認證與訪問管理(Identity Authentication and Access Authorization)技術在虛擬與雲端環境下,愈發重要,可協助企業管控內部人員資訊存取行為;企業風險管理(Risk Management),則可偵測、預警乃至限制異常網絡活動。」

不過顧向聖指,相較北美與歐洲,亞太區雲運算發展仍較緩慢,與資安考量、部署及管理複雜度有關;兼之經濟景況未見明顯好轉,公司資通訊科技預算也趨向緊縮。「金融業乃是本港傳統支柱產業,但金融機構於不同時期所插入系統仍能穩定運行,企業應用集成(Enterprise Application Integration)成為瓶頸,由恐龍時代平台向新架構遷移,並非易事。科技、傳媒及電訊行業所用平台相對較新,轉型負擔不致過重。」

沒有留言:

發佈留言