但加密成本高昂(因为为数据添加额外的加密代码并非易事)、又很复杂,需要确定什么时候由谁使用什么设备在什么地方进行加密,为什么要加密。另外,加密的效果完全取决于最薄弱的那个环节。要是业务合作伙伴和承包商没有遵循同样的流程、使用同样的加密方法,所有加密工作都是白搭。种种困难也许可以解释为什么接受Ponemon Institute调查的企业当中只有16%表示,自己在整个企业定有加密策略。
不过更多的公司(包括金融服务业外面的公司)需要考虑加密技术用于保护最敏感的数据。移动设备的增加以及员工能够自行安装及运行软件,这让数据可以绕过防火墙——Nackashi称之为“飞行数据”。
虽然Nackashi不愿透露Fidelity在加密方面投入了多少费用,不过这从他为此投入的管理时间上可见一斑。他说:“两年前,恐怕要占用我100%的时间,因为我们当时在规划策略。如今,我们正在实施当中,所以可能只占用30%的时间。”尽管Fidelity有一名专职的首席
信息安全官,他是Nackashi的同事。他估计,总的说来,Fidelity的安全人员在过去两年增加了30%。他说:“从我们的角度来看,在这方面不能妥协。干我们这一行,跟慢一点都不行啊!”
获得上司的认可 安全人员配备及开支方面的这种大幅增长表明,网络犯罪已从烦人的IT问题变成了业务风险。自2004年以来,Scottrade公司的Patterson手下的安全人员从2人增加到了8人,他估计明年人数还会增加一倍多。
Patterson认为,谁要是抵制安全开支方面的增长,就需要考虑宏观大局。“要是一小群顾客当中的泄密事件导致我们失去17万~30万名顾客,那该怎么办?这会对公司带来什么后果?大家要达成共识,不管这个数字是多少,你都要确定投资回报。”
Patterson催促Scottrade把
信息安全与公司的灾难恢复和业务连续性战略联系起来。Patterson说:“我们在卡特里娜飓风期间损失了几家分行。如果你遇到了DDoS攻击,损失会是一样的。你要重新安排调度人员和电话,确保对情况的沟通简单扼要。”与此同时,在CFEFCU,Dougherty请顾问分析数据泄密对公司业务将造成的影响,并把这种分析与公司的灾难恢复战略联系起来。
但是,别让CIO成为风险战略的惟一拥护者,不然战略永远不会成功。执行委员会和董事会必须参与到决策过程。“我向执行委员会讲解
网络安全时,会拿出一张克里姆林宫的照片,妥不妥当也顾不了那么多了。”Scottrade的Patterson笑着说。这张照片旨在说明俄罗斯是滋生网络犯罪的温床。“业务人员一定要像我这样清醒地认识到这一点。”
他加强安全意识的一个办法就是,每个月向执行委员会介绍一系列安全方面的关键绩效指标。譬如说,给出内外漏洞方面的总体报告,并且跟踪入侵报警、监管安全补丁工作,这些由Scottrade总部以及分行的
数据中心和硬件来分析。“十八个月前,我们没有跟踪这些信息。”
如今,Dougherty的CEO和董事会同样与作为关键业务指标的安全息息相关。最能表明这一点的是,他的网站在今年夏季再次遭到攻击。Dougherty说,攻击在短短几个小时之内就被击败了,这归功于他落实的新战略,但也要归功于用不着与CEO或者董事会为任何新战略而争论。他说:“他们要了解发生的情况,而且要知道采取了应对措施。”
(c112)
|
服 务 CIO 推 进 信 息 化 
