探寻金融信息安全的机遇
2005-04-29谢仲良
谢仲良
“一个产品或一套解决方案的成功,离不开对市场需求的准确了解。而这一定要从CIO采购成本和采购紧迫感的上下文来定义市场需求。”赛门铁克(Symantec)西部地区系统工程部高级总监夏虹认为。
11月22日,赛门铁克公司在北京召开主题为“迈向新大陆”的中国用户大会。据悉,这是继赛门铁克与Veritas合并后的首次中国用户大会。在当天下午的讲座上,赛门铁克西部地区系统工程部高级总监夏虹关于美国金融业信息安全的报告受到了听众的好评。本刊记者在讲座结束后的第一时间对夏虹博士进行了专访。
信息安全
属于风险管理
从20世纪90年代开始,国际银行业内几次大的倒闭或交易损失事件令人记忆犹新。1991 年,国际商业信贷银行 (BCCI) 因为100亿美元的巨额损失而倒闭;1995年,拥有233年历史的巴林银行因为假冒交易而倒闭;同样是在1995年,纽约大和银行因未授权交易损失 11 亿美元。
通过研究这些案例,不难发现风险对于银行来说意味着什么。可以说,风险就是银行的业务基础。银行就是通过评估和管理信用风险而获得成功的。银行的风险管理越有效,银行的整个经营管理就越成功,就更能保证银行的成功和可持续发展。
而信息安全则是银行风险管理中的题中之意,信息安全对每个金融机构的经营来讲都至关重要。赛门铁克西部地区系统工程部高级总监夏虹指出,如果敏感信息或客户数据出现泄露或丢失的情况,可能会因诉讼或法律制裁而受到处罚,以及给企业的信誉造成极大的负面影响,甚至最终导致客户的大规模流失。
根据美国国家银行业规范制定机构——巴塞尔银行监管委员于 2001 年制定的新巴塞尔协定 (Basel II Accord)规定,要求银行提高准备金,或者证明能够系统地控制其信用和经营风险。新巴塞尔协定将经营风险定义为“由于内部过程、人员或系统缺乏或失效,或外部事件引起的损失的风险”。显然,该协定也将信息安全控制问题提到了重要的位置上。
变化创造机会
随着企业将信息安全提到议事日程之上,Symantec也很快找到了大施拳脚的机会。夏虹指出,企业在信息安全一般是从两个方面来进行的。一方面,在管理流程上,对企业管理流程进行修改,对其现有管理实践进行修改,从而加强信息安全的管理;另一方面,在相应的技术基础上,通过技术来提高企业的信息安全。
“因为安全不是公司维生的手段,不可能要求公司员工成天进行信息安全的检查报告。而在这一过程中,Symantec看到了机会。可以为这些企业提供相关的技术和解决方案。”夏虹说。
据悉,一般做法是,Symantec和世界上几大著名管理咨询公司合作。管理咨询公司去做管理流程的风险评估;Symantec则提供相应的安全技术产品和解决方案。
夏虹强调,企业管理者的安全意识最为重要。不解决管理层面的问题,技术层面的安全也难以真正发挥作用;而管理流程上的许多复杂问题,仅仅靠买技术来解决是不可能的。
在信息安全产品/解决方案设计方面,夏虹认为,一个产品或一套解决方案的成功,离不开对市场需求的准确了解。夏虹指出,人人都知道市场需求重要,但是归结到怎么样确切知道需求很难。以往去做调查的时候,10个客户会有9个说需要,大家就来开发,但是产品出来后,客户却说价位不对,这种调查方式显然不是正确的。“在美国彻底的市场经济环境下,CIO是经过多年职业训练的,他会严格按照各种IT产品对公司主营业务的影响程度来决定购买。所以我们一定要从CIO采购成本和采购紧迫感的上下文来定义市场需求。”夏虹强调说。
夏虹认为,信息安全目前也开始成为一种服务。夏虹谈道,早在四、五年前,网络泡沫消退后,美国IT业面临着一个“冬天”。很多人开始对IT技术的重要性提出质疑。IT对公司的作用是什么?对公司主营业务和盈收有无帮助?同时,在巨大的成本压力下,公司开始对IT的角色进行重新定位。而在这一过程中,导致了企业对服务的需求。
“比如手机通话是通讯公司提供的一种服务。服务意味着要注重服务质量,要求能准确计算服务费用。”夏虹说,“很多人觉得如果IT也能做到这样,对不同部门的要求提供不同的服务,从而精确地来计算成本,并且CIO可以清楚地告诉CEO钱是如何花的,也能够实现四个9、五个9这种量化的标准。”夏虹认为,很多因素促成了这一趋势。
国内银行
面临巨大挑战
在信息安全方面,夏虹认为国内外银行的需求是同样的,很多问题也是相同的。但是他指出,国内银行与国外银行对信息安全的敏感度不一样。“比如客户那么大,但是随着意识的提高。美国单个客户的法律意识很高,如果出现客户资料流失的情况,美国的客户一般都会采用法律程序来解决,而且出事后造成的名誉以及各种诉讼成本都是很大的,而中国客户在这方面的意识可能就比较淡薄了。”夏虹说。
众所周知,随着WTO规定期限的临近,国外银行也加快了在中国市场排兵布阵的节奏。有业内人士指出,随着市场竞争环境的完善、客户消费需求和法律意识的提高,国内银行将迎来前所未有的巨大挑战。夏虹认为,进入中国的国外银行可能会把信息安全作为自己的一项竞争优势,并借机来争夺国内高质量的行业用户。“中国银行如果不跟上这一步伐,是有很大风险的。”夏虹说。
