金融危機和經(jīng)濟低迷使得CIO不得不勒緊褲腰帶，公司因此削減成本將成為非?，F(xiàn)實的措施。許多CIO透露其公司近期也正考慮調(diào)整一些IT項目，將有限的預算資金重新調(diào)配。

　　但是一項調(diào)查顯示，大多數(shù)公司CIO還是希望在IT安全上的投入能夠有所增長或者至少在IT安全投入上能夠保持不變。該調(diào)查還發(fā)現(xiàn)，IT安全問題越來越受企業(yè)重視，與IT安全相關的決策都會往上呈報給更高主管，說明對多數(shù)企業(yè)而言，IT安全已不只是IT部門的事情。

　　一.經(jīng)濟低迷，CIO面臨削減IT預算壓力

　　目前，世界經(jīng)濟體都在經(jīng)歷經(jīng)濟滑坡，企業(yè)正在尋求削減開支、改善收支狀況的良方。因此在經(jīng)濟低迷的時候，一個大的挑戰(zhàn)就是要用更少的成本做更多的事情，力求用好每一分錢的預算。雖然IT安全預算在企業(yè)的總成本基數(shù)中所占的比例通常較小，但企業(yè)高管們?nèi)圆豢杀苊獾貢⑺麄兊淖⒁饬D(zhuǎn)向IT安全預算，要求CIO對其進行大幅削減。

　　企業(yè)IT安全風險產(chǎn)生的成本可分成兩種：一是“硬錢成本”(Hard-dollar costs)，主要衡量實際現(xiàn)金損失以及IT人員投入修復的時間與資源;二是“軟錢成本”(Soft-dollar cost)，包括開會、生產(chǎn)效率、溝通關系以及商機消失等間接損害。對企業(yè)來說，IT安全問題不只是不被黑客入侵，還包括對重要資料的妥善保管。在一般情況下，IT安全投資通常是保障企業(yè)的正常運營的工具，其效益可遠遠超過按慣例削減IT成本所能節(jié)省的資金。

　　簡單的說，IT安全說穿了就是消弭公司的風險。因此在最糟糕的經(jīng)濟環(huán)境下希望削減IT安全預算時，應該要問這樣的一個問題：在經(jīng)濟低迷時公司的IT安全風險會降低嗎?實際上，當經(jīng)濟低迷的時候，企業(yè)的信息安全的狀況也不太好，而且更不幸的是IT安全問題反而劇增。

　　此次由CIO參與的名為“IT安全：如何在經(jīng)濟低迷時保護生產(chǎn)力”的調(diào)查顯示，隨著經(jīng)濟下滑規(guī)模不斷擴大，企業(yè)受到的IT安全威脅也越來越嚴重，而且造成的損害后果也越來越大，信息安全的緊迫性日益凸現(xiàn)。所以，在經(jīng)濟下滑時停止IT安全投資可能效果適得其反。因此，經(jīng)濟低迷時IT安全管理，不能只是簡單削減成本，IT安全問題已經(jīng)成為制約企業(yè)渡過經(jīng)濟危機的關鍵問題之一。

　　二.為什么IT安全風險隨經(jīng)濟下滑反向劇增?

　　(1)IT安全風險如影隨形

　　統(tǒng)計數(shù)據(jù)表明，IT安全風險隨經(jīng)濟下滑反向劇增，涉及IT信息的違法犯罪活動會不斷攀升，黑客的攻擊手法更是花樣翻新。IT系統(tǒng)由多種設備、設施構成，因此其面臨的威脅是多方面的?？傮w而言，這些威脅可以歸結(jié)為三大類：一是對IT設備的威脅;二是對業(yè)務處理過程的威脅;三是對數(shù)據(jù)的威脅。要加強IT系統(tǒng)的安全防范，就要研究上述威脅，查清影響IT安全的因素。

　　這些因素有哪些呢?①是IT系統(tǒng)軟硬件的內(nèi)在缺陷。這些缺陷不僅直接造成系統(tǒng)故障，還會為一些人為的惡意攻擊提供機會。最典型的如微軟的操作系統(tǒng)設計缺陷，一些病毒、木馬盯住其破綻興風作浪。②是惡意攻擊。攻擊的種類有多種，有的是對硬件設施的干擾或破壞，有的是對數(shù)據(jù)的攻擊，有的是對應用的攻擊。嚴重時可導致硬件永久性故障或損壞;對數(shù)據(jù)的攻擊也可破壞數(shù)據(jù)的有效性和完整性，或可能導致敏感數(shù)據(jù)的泄漏、濫用;對應用的攻擊則會導致系統(tǒng)運行異常甚至中斷。③是使用不當，如誤操作。這類使用不當會導致系統(tǒng)安全性能下降甚至系統(tǒng)異常也經(jīng)常發(fā)生。

　　(2)經(jīng)濟低迷時，高價值數(shù)據(jù)外泄危機更是頻繁

　　在2008年《IT 風險管理研究報告》中一項調(diào)查結(jié)果引人注意，那就是58%的受訪者表示在近期發(fā)生過一次重大IT安全數(shù)據(jù)外泄事件。之所以形成這樣的趨勢，很重要的一個原因就是經(jīng)濟犯罪色彩越來越濃?，F(xiàn)在以盈利為目的的IT安全攻擊目標已不再是基礎架構(如軟/硬件和網(wǎng)絡設備)，而是以運營在基礎架構上的數(shù)據(jù)信息為目標，它造成的現(xiàn)實損失是一些關鍵信息被破壞或者是被泄露出去，這種損失對大多數(shù)企業(yè)來說更難以承受，。

　　(3)垃圾郵件造成經(jīng)濟損失成IT安全最大威脅

　　據(jù)不完全統(tǒng)計，黑客轉(zhuǎn)讓此類垃圾郵件的用戶信息每年就能進賬數(shù)百萬甚至上千萬元人民幣，而這種病毒和垃圾郵件形成的連鎖垃圾郵件經(jīng)濟也成了近年垃圾郵件屢禁不止的主要原因之一。垃圾郵件、病毒這兩個“網(wǎng)絡騷擾者”隨便遇上哪一個，都足以讓CIO頭疼不已，而且這類事件還有隨著經(jīng)濟下滑有進一步加劇的趨勢。

　　(4)內(nèi)部裁員情緒的成最大IT安全隱患

　　面臨經(jīng)濟不景時，公司在需要裁員時在IT安全方面的最大挑戰(zhàn)是什么?根據(jù)調(diào)查報告顯示，最大的威脅和隱患是用戶情緒不穩(wěn)定和受到裁員威脅。在公司可能裁員的敏感時期， IT安全的風險也受這個因素的影響而大大增加，這種過渡時期導致的不僅是安全泄露，更嚴重的是可能使到IT系統(tǒng)崩潰。

　　常言道：堡壘總是最易從內(nèi)部攻破，公司越來越重視IT安全建設，但是都主要在對付外來的攻擊上，而忽略了來自內(nèi)部的隱患和攻擊。在這個過渡時期，不可避免的是來自以破壞信息完整性或者竊取信息機密為目標的惡意攻擊呈飛速增長之勢。無論員工是因為不滿，還是只是感覺沒有人看到，我們經(jīng)常看到當企業(yè)可能裁員的情況下，代表巨大公司價值的IT信息資產(chǎn)可能首先被錯放或者被竊取，而且很難判定這些信息是否用用于欺騙或者其他的非授權的目的。

　　另外，卡耐基梅隆大學研究表明，那些由內(nèi)部人員發(fā)起的攻擊中，86%的犯罪者都是技術人員。在這些人中55%的人是在離職后進行攻擊的。在前段時間媒體上廣為報道的一個例子是，某公司用了20名員工花了280小時才修復那些被一個對公司不滿的內(nèi)部人員刪除的數(shù)據(jù)。進行攻擊的時候，犯罪者曾經(jīng)是該公司IT部門的一名職員，他能夠遠程訪問關鍵系統(tǒng)。從報道中我們可以看出，IT內(nèi)部人員通常擁有對關鍵系統(tǒng)的訪問權，即使在離職之后，他們也可以是用特別的帳戶和密碼訪問這些系統(tǒng)。

　　因此，IT部門和人力資源部必須了解可能導致IT安全失誤的事件，離職員工和公司管理人員必須明確了解哪些信息離職人員可以帶走，哪些必須交接和保密。公司必須慎重管理、防御信息泄露和安全問題。其實，不單單只有裁員的公司面臨這種困境，許多公司的在正常的內(nèi)部管理也面臨同樣的難題。CIO要明白到當今IT安全最大的威脅其實是源自很小的事情，但這些事情往往被忽視了。

　　三.經(jīng)濟低迷時，CIO如何應對IT安全風險?

　　IT安全威脅的種類包括網(wǎng)絡攻擊、入侵、惡意代碼，CIO必須一馬當先，帶領部下建立堅固的IT安全環(huán)境，以減少IT犯罪分子攻擊得手的可能性，降低損失程度。一提起企業(yè)IT安全，我們最先想到的是防火墻、防病毒、入侵檢測、數(shù)據(jù)加密等獨立的安全產(chǎn)品。但是IT安全不止這些，授權、認證與管理比單個安全軟件產(chǎn)品更重要，IT安全應該有完整的策略。

　　因此，CIO應該把IT安全看作是一種公司運營層面而不是技術層面上的挑戰(zhàn)。它類似于傳統(tǒng)的質(zhì)量保證項目，主要是防患于未然而不是等待問題出現(xiàn)之后再去解決，并且要求所有員工的親身參與而不僅僅局限于IT人員。最終的目標也不是讓IT系統(tǒng)變得無懈可擊，因為這根本不可能做到，而是把由此帶來的商業(yè)風險降低到可以接受的程度。

　　(1)IT安全策略

　　企業(yè)IT安全問題自始至終都是一個比較棘手的事情，它既有硬件的問題，也有軟件的問題，但最終還是人的問題。在對企業(yè)IT安全策略的規(guī)劃、設計、實施與維護過程中，必須對保護數(shù)據(jù)信息所需的安全級別有一個較透徹的理解。

　　策略要能對某個安全主題進行描繪，探討其必要性和重要性，解釋清楚什么該做什么不該做。安全策略應該簡明，在生產(chǎn)效率和安全之間有一個好的平衡點，易于實現(xiàn)、易于理解。安全策略必須遵循三個基本概念：確定性、完整性和有效性。另外，安全策略不能忽略小的方面而影響整體的安全。這包括對設備、數(shù)據(jù)、e-mail、Internet等的可接受的使用策略。

　　(2)進行安全分析

　　這是一個經(jīng)常被忽略的工作步驟，同時也是IT安全策略制訂工作中的一個重要步驟。這個步驟的主要目標是確定需要進行保護的信息資產(chǎn)及其對公司的絕對和相對價值，在決定保護措施的時候要參照這一步驟所獲得的信息?？紤]的關鍵問題包括需要保護什么，需要防范哪些威脅，受到攻擊的可能性，在攻擊發(fā)生時可能造成的損失，能夠采取什么防范措施，防范措施的成本和效果評估等等。

　　公司的安全分析檢查重點應是看入侵是否容易、哪些系統(tǒng)或程序易受攻擊，通過制訂完善的操作計劃，令黑客悻然離去。例如，堅持使用安全的軟件，公司如果是使用外部供應商的軟件，應當時時跟蹤軟件的版本與修訂情況，及時更新補丁;如果是自行開發(fā)軟件，則必須確保開發(fā)人員遵守安全的編碼與測試規(guī)則，減少軟件漏洞不讓黑客有機可乘。

　　(3)監(jiān)控高風險用戶和角色

　　有時公司需要積極地監(jiān)視某些角色，特別是這些角色對企業(yè)會造成極高的風險，企業(yè)要監(jiān)視以便發(fā)現(xiàn)其潛在的“不可接受”的行為。例如一位采購經(jīng)理為謀求一個職位可能會將自己能夠訪問的敏感數(shù)據(jù)帶到另外一家競爭公司那里去。這種情況下，其訪問是被授權的，不過卻應該監(jiān)視其是否存在著濫用的情況。崗位、職責的輪換以及設定任命時間也是對付高風險的一個重要方案。另外，注意的是IT安全專家通常也屬于高風險角色的范圍。

　　(4)加強用戶教育

　　對用戶而言，像網(wǎng)頁釣魚和捕鯨(把公司高官選作下手目標的電子郵件欺騙手法)這些有針對性的攻擊讓人擔心，因為這些攻擊會利用用戶沒有及時接受公司教育方面的漏洞。網(wǎng)絡訪問控制和安全信息管理等技術有助于保護IT安全，但幫助非常有限。隨著攻擊變得更加狡猾，用戶教育成了惟一選擇。

　　人們普遍認為，IT安全是IT部門的事情，其實這并不符合實際情況。用戶才是IT安全的最大威脅，因為大多數(shù)用戶對其行為的危險性不以為然。因為無論對用戶進行多少次的安全知識培訓，用戶總是禁不住各種病毒附件的“誘惑”，或為了獲取瀏覽速度，不惜關閉防火墻。IT安全問題人人有責、責無旁貸。讓人遺憾的是許多情況是當出現(xiàn)IT安全問題后，IT主管總是被動應付，只能采取補救措施。實際上，IT安全責任存在于公司的各部門，應該要做到防微杜漸，以小見大。

　　(5)災難恢復

　　墨菲定理說，會出錯的事總會出錯，如果你擔心某種情況發(fā)生,那么它就更有可能發(fā)生。這個定理用到IT安全上，就是“再穩(wěn)健的IT安全也會出問題?！边@時候，我們老祖宗的那句話就派上了用場：凡事予則立，不予則廢。CIO應趁著系統(tǒng)還在運行的時候，制定一個災難恢復計劃，將災難帶來的損失降低到最小，這也許是IT安全保障的最后一個策略。

　　(6)IT安全演習

　　最后一點，當安全系統(tǒng)被攻破，危急時刻要迅速抉擇難免有誤。因此，平時建立應急預案，演習危機處理流程非常有必要。