邱燕娜

普华永道最新发布的全球信息安全状况调查（以下简称调查）报告显示，2014年由被检测到的信息安全事件导致的企业财务损失激增了34%。我国的这一数据是33%，好不到哪里去。

据悉，全球信息安全状况调查于2014年第2～3季度进行，收到全球9700余名企业高管和专业人员的反馈（其中400多名来自中国）。 记者发现，调查结果显示的当前信息安全特征还有几个非常值得关注：

首先，网络犯罪导致的财务损失让人吃惊。调查报告显示，在我国由被检测到的网络犯罪事件所导致的平均财务损失达240万美元，高于亚太地区的平均财务损失190万美元。

其次，商业机密泄露引发的财务损失令人震惊。普华永道针对全球财务损失的估算表明，全球因商业机密被窃取而导致的财务损失高达7490亿美元至2.2万亿美元。按照中国4%的调查参与率来计算，中国由于商业机密造成的财务损失在300亿美元到 900亿美元这一范围。

“全球信息安全状况调查证实了我们的顾虑，已检测到的信息安全事件带来的财务影响正在迅速增加，同时仍有许多攻击没被发现或者报告。”普华永道中国网络安全服务合伙人冼嘉乐表示。

最后，现有雇员或离任雇员被认为是最有可能引发信息安全事件的威胁，但是企业却缺乏关键的防范制度。调查报告显示，有41%的中国受访者表示，一些对公司抱有不满情绪的离任雇员利用其对公司安全系统和架构的了解，成为公司信息安全的主要威胁之一。冼嘉乐提醒：“内部人员泄密和外部攻击者利用信息安全漏洞谋利，致使信息安全风险正在日益增加，但针对这些因素的关键防护机制却比较缺乏。”

事实上，此前发布的《2014年普华永道全球经济犯罪调查报告》已经揭示了企业前雇员的这类潜在安全威胁，中国受访者称其80%的经济犯罪事件疑为内部人员所为。

“鉴于各类已检测到的、未检测到的，以及未报告的网络犯罪事件不断飙升，企业已不能只疑虑自身信息是否安全，而是要想到信息安全事件是否已然发生。”冼嘉乐指出。

值得关注的是，调查结果显示，84%的中国受访者称其在信息安全方面的预算有所增长。但是与此同时，大型企业（收益超过10亿美元）检测到的信息安全事件较去年增加了44%。不容忽视的是，尽管企业增加了维护信息安全的投入以应对网络安全威胁，很多企业仍过多依赖外部执法机构对信息安全事件的识别和警告，而缺少企业自测手段。

与此同时，调查结果显示，尽管我国很多受访者表示目前拥有信息安全保护政策，但其缺乏信息安全策略或远景，这成为他们维护信息安全最主要的障碍之一。

在此背景下爱，冼嘉乐建议，企业应该建立战略性安全管控体系，这需要做好五个步骤：第一，确保信息安全的管控策略与商业目标一致，并使之成为战略资源；第二，识别最有价值的信息资产，优先保护高价值数据；第三，为了减少响应各类攻击的时间，充分了解对手（包括他们的动机、可能会利用的资源，以及可能采用的攻击方式等）；第四，评估第三方合作伙伴的信息安全状况，确保第三方也能满足自身的安全策略和最佳实践的要求；第五，积极参与多方合作，提高企业对网络安全威胁的应对意识。