金融安全戰(zhàn)略重于技術

申請免費試用、咨詢電話：400-8352-114

在安全方面，金融服務業(yè)要比其他行業(yè)做得更好，值得我們學習。

長期以來，金融業(yè)被普遍認為在信息安全實踐方面要優(yōu)于其他行業(yè)，其中很大一部分原因在于這些企業(yè)的資產直接就是金錢，而且，這些企業(yè)的業(yè)務基本上全是建立在IT系統(tǒng)之上的。

調查結果可以證明：從事金錢業(yè)務的行業(yè)比其他行業(yè)要更安全和更具戰(zhàn)略性，甚至更加自信。另外金融企業(yè)的規(guī)模通常很大，大型企業(yè)一般都有更充裕的資源用于信息安全。

選擇金融業(yè)作為最佳實踐的對象還出于其他方面的考慮。首先，在這種行業(yè)里，一次業(yè)務往來中通過IT網絡周轉的現金流數目可能極為巨大；其次，金融業(yè)已經在很多業(yè)務上應用了風險模型、投資回報和其他戰(zhàn)略分析工具，這些工具也逐漸開始應用到了信息安全上；最后，金融業(yè)知道法規(guī)的重要性并且很早就開始按照這些規(guī)范的要求去做了。在信息安全方面，金融業(yè)是其他行業(yè)追趕的目標，而且兩者之間的差距是很明顯的。從預算說起，金融業(yè)用于安全方面的預算會更多，但如果說到全部的IT預算，則未必比其他行業(yè)多，結果是金融業(yè)能做到比一般企業(yè)更安全，其優(yōu)越性體現在預算的有效利用上，這些資金更多地是花費在戰(zhàn)略規(guī)劃上而不是技術上。一個簡單的例子就是采用網絡防火墻。在所有調查者中，它在下一年最重要的戰(zhàn)略優(yōu)先級中位列第五，而在金融業(yè)中，它連前十位都排不到。數據備份也是一樣，在所有調查者中它位列第三，但在金融業(yè)中不會排在這么前面。當然這些金融業(yè)也配備了這些重要的技術，可是優(yōu)先級與其他企業(yè)不同，也許他們是這么理解的：更多的技術并不一定代表更高的安全性。金融業(yè)比較重視在身份管理技術上的投資，考慮到身份盜竊事件頻頻發(fā)生，這就不奇怪了。

另一方面，“法規(guī)遵從度測試”出現在金融行業(yè)的下一年高優(yōu)先級工作計劃列表上的可能性也遠比一般企業(yè)要高。人們應該預見到，將來有一天這也會成為其他企業(yè)的一項工作內容。

金融企業(yè)確實比其他行業(yè)更喜歡使用投資回報率和對商業(yè)目標的貢獻來作為衡量安全投資的標準，但同時他們也會更注重考慮法律和規(guī)范要求、責任以及對盈收的影響等多方因素。有趣的是，所有金融業(yè)受調查者中，有半數表示“一般行業(yè)實踐”也是影響安全投資的因素之一，這指的是同一行業(yè)的企業(yè)之間某種程度上的信息共享，或至少是一種相互學習的企業(yè)文化，這樣有助于安全執(zhí)行人員從其他同行那里獲取好的安全實踐經驗。

也有一個領域金融業(yè)并不比其他行業(yè)做得更好，這就是與物理安全的集成?？紤]到現在利用物理安全的弱點（或利用信息安全和物理安全的分離）來盜取個人信息記錄的事件頻繁發(fā)生，在這個領域，比較今年和明年的調查數據結果將會是很重要的。 (ccw)