新闻搜索:
德勤的一份最新调查显示,涉及信息安全的事件持续引起高层管理人士的注意,但大家仍将解决这些基本问题的责任归于信息技术部门。该项德勤2007年全球安全调查结果显示,有不到三分之二(63%)的受访者已制定信息安全战略,但仅有10%的受访者是由业务部门领导人主导实施信息安全措施。这些调查结果表明业界出现的对安全问题自相矛盾的态度:就是意识到问题的存在但对解决方案缺乏支持。
调查也显示,破坏外部安全的最根本原因仍然是“人的因素”:公司的雇员、客户、第三方和业务合作伙伴。
“这些相互冲突的调查结果突显了金融机构正在面临的对安全问题自相矛盾的态度”,德勤全球金融服务业中国领导人杜柏伟先生(Wade Deffenbaugh)说,“一方面,毫无疑问,受访者已经明确了主要的安全问题及有关改善安全和隐私而必须采取的行动。另一方面,许多金融机构在采取行动方面却跟不上步伐。”
说到破坏安全事件,最令公司不安的因素之一是客户。德勤调查发现,破坏安全的最大元凶是病毒和蠕虫、垃圾邮件等电邮攻击,以及网络钓鱼(phishing)和网址嫁接(pharming)。所有上述破坏安全的因素均由客户引致,例如,客户无意中成为了敏感信息的提供者和打开金融机构的渠道。但即使金融机构直接受到上述各类破坏安全事件的影响,他们仍不愿意为其客户的计算机安全承担责任,主要原因可能是因为这是一项十分浩大及艰巨的工作。就企业应否对与其有在线生意往来的客户的计算机提供保护责任,三分之二(66%)的受访者认为他们不应当。
除了通过客户渠道进行的安全破坏,德勤调查显示大量重复破坏是由雇员造成的:包括不当行为(故意的行为)和过失和疏忽(无意的行为)。绝大多数(91%)受访者对雇员行为表示担忧,认为人的因素是信息安全失灵的根本原因 (79%)。
但尽管雇员的过失和疏忽被认为是主要的安全问题之一,约四分之一(22%)的受访者在过去一年中没有提供雇员安全培训;只有三分之一(30%)的受访者称他们的员工有足够能力应对安全需要。
“尽管存在这些差距,能够发现问题至少是成功了一半,因此金融机构在弥合这些差距方面正在朝着正确的方向前进,” 杜柏伟先生补充道, “安全培训和意识,雇员、客户和供应商的身份管理以及数据保护是公司今年最重要的行动方案之一,金融机构正奋力跟上充满变化的态势。
该调查的其他关键发现:
· 电邮攻击位列金融机构在过去12个月中遭到的外部安全破坏的首位(57%)。
· 三分之二 (66%)的受访者认为他们不应对在网上进行银行交易的客户的计算机负保护责任。
· 几乎所有受访者 (98%) 表示已提高了安全预算,但有35%的受访者 感到他们在信息安全方面的投资落后于业务需要。
· “优先事项的变换” 以及 “整合问题”被认为是信息安全项目失败的首要原因 (分别为48% 和 32%)。
除日本外的亚太地区调查结果重点:
超过三分之二(78%) 除日本外的亚太地区受访者表示,安全问题已经上升为高管或董事会级别的关键业务运营领域问题。几乎同样比例的金融机构 (62%) 同时确认他们已经制定安全战略,并有应对监管要求的承诺以及资金支持。但与此同时,仅有7%的受访者(为所有地区中的最低水平)认为他们目前具备了有效应对现有及可预见的安全要求所必需的技能和能力。
方法
德勤全球金融服务行业小组通过面对面访谈和网上问卷的形式进行的此项调查,重点对象为100大全球金融服务机构中多家的高级信息技术管理人员(首席安全官、首席信息官、安全管理团队等)。调查问题涉及治理、对安全的投资、风险、安全技术的使用、运营质量与隐私。受访者包括来自各大洲的公共和私营机构并被划分为五大地区,包括:欧洲、中东和非洲,独联体、亚太、北美、拉丁美洲和加勒比海地区。鉴于被访机构的关注点各异以及本次调研的定性形式,一些调查结果可能并非对于每个指定地区均具代表性。
全球金融服务行业小组
德勤的全球金融服务行业小组由德勤各成员事务所的金融服务部门组成。有超过1,500位合伙人和17,000名金融服务专业人士分布于40多个国家成员所的金融服务部门中。
网易声明:本版文章内容纯属作者个人观点,仅供投资者参考,并不构成投资建议。投资者据此操作,风险自担。
