安永日前发布调查报告显示，随着信息技术的不断发展，不同类型的关键或敏感数据以不同的方式分布在企业每一个角落，致使企业数据泄漏的源头无处不在：有的来自企业外部的入侵攻击，有的来自企业内部（员工,合作方）无意的违规事件或蓄意的数据泄漏，也有因对企业制度和流程遵循不到位而引起的信息安全事件——令人防不胜防；同时，企业遭遇的信息安全事件种类也呈现多样化的趋势。

　　反思的时刻

　　传统的安全模式着重防御外来侵袭，而实际情况是来自企业内部的威胁并不少于外来威胁。移动技术、云计算、社交媒体、员工破坏等仅仅是企业面临的内部威胁中一小部分。总体来说，风险环境是不断在变化着。安永大中华区信息科技风险咨询服务合伙人阮祺康表示：技术进步打造了高效率的员工队伍，他们能与同事和客户以各式各样的方式联系与互动；且技术进步让信息技术有机会为企业带来巨大利益，但新技术也带来新的风险。因此，企业不但需要了解这种风险，也应该采取行动避免这种风险。

　　信息安全已经成为全球广泛关注和亟待采取行动的风险领域。根据《安永全球信息安全调查》的结果显示：60%的企业感受到社交网络、云计算和个人移动设备增加了公司信息安全的风险；53%的受访者认为越来越多移动办公的应用将会是推行信息安全方案过程中所面临的巨大挑战；50%的企业会打算在下一年度里增加数据泄漏防护技术的投入。

　　移动办公

　　一半以上的受访者表示移动办公的增加与移动计算设备的广泛使用，让大家随时随地获取和传递企业讯息，但也同时为有效落实信息安全带来巨大的挑战。近三分之二的受访者认为员工安全意识水平存在巨大挑战。随着移动办公应用数量不断增加，风险也随之增加。除了实施新技术解决方案和重新设计信息流外，企业还需要着重向员工培养风险管控的概念。定期提供有效的安全意识培训是企业应对不断变化环境的成功要素。

　　严防数据泄漏

　　一半的受访者计划来年在数据泄漏、数据遗失防护上支出更多，该比例比上一年增加了7个百分比。为了应对潜在的新风险，39%的受访者正在做出政策调整、29%正在落实加密技术、28%正在实施加强身份识别和使用权限管理控制的相关工具。

　　阮祺康表示：数据泄漏防护方案应涵盖企业人员、业务流程和技术的各个领域，建立“自上而下”的安全防范和数据治理机制，定义数据库管理角色及其职责，从而有效地管理和维护数据泄漏防护方案；应更全面地评估数据泄漏风险和所发现的差距，加强所有支柱性IT流程；部署数据泄漏保护方案之前，应建立企业内部的数据分类标准，定义企业的关键数据，确定重点保护对象，从而全面地降低数据泄漏的风险。

　　云计算服务

　　由于初期投资可显者减少、内部IT技术资源可减少、运营成本可减至更低等若干潜在优势，越来越多企业纷纷与云计算服务供应商合作。调查显示：23%的受访者正在使用云计算服务，15%正计划在未来12个月内使用。关于云服务提供商获得的外部认证是否会提升可信度的调查显示：85%的受访者给予了肯定的回答，43%的受访者认为此类认证应该基于一个协定的标准，22%对提供此类认证服务的机构本身提出了要求。

　　社交网络

　　人们使用社交网络从未如此普遍。随着技术发展，个人与专业互动之间的界限越来越模糊。员工必须了解到在家中或工作场所使用社交网络如何对企业的安全与成功造成危害。令人遗憾的是，信息损失往往是员工行为无意中造成。企业需要在整家机构内制订安全意识的计划，让员工认识到保护企业的知识产权是每个人的责任。企业必须确保信息安全责任落实到个人。（蔡飞）

　　■链接：衡量首要指标

　　企业应着重以效果为主的衡量准则。虽然企业仍应遵循传统的指标，但重点应放在真正重要的几项关键指标：

　　系统运维管理 —— 通过将诸如合规性、系统配置、运营效率及内部控制等基于运维管理的KPI与行业标杆进行比对，可以评估并定义出需要改进的地方。

　　数据 —— 对所有的交易数据进行实质性的检查，可以增加财务结果的可信任度，减少财务数据的错误，降低潜在的非合规性以及舞弊的风险。

　　信息安全 —— 通过对IT安全各个方面的KPI与行业标杆进行比对，可以识别及监控企业在IT安全方面的脆弱点。

　　IT风险管理 —— 揭示并降低信息科技风险，创造价值并控制成本，同时达到合规性要求。

　　上述关键指标能让企业在问题不严重的时候就发现问题。

　　小错误会提醒企业注意防范安全决策或行动可能带来的意外后果。

　　这样，才能做出基于风险的更明智安全的决策，更准确地在信息风险管理方面投入，更有效地在风险最高的安全领域采取行动。

　　信息技术是现代企业在竞争中立于不败之地的利器，为企业提供更接近客户、回应更有针对性和迅速的良机，而且可以重新定义运营的有效性和效率。

　　可是，随着机遇增多，风险也有所增多。

　　有效的信息技术风险管理有助企业提高信息技术运作的竞争优势，使这些运作更具成本效益，并减少企业系统运行的相关风险。

　　通过重新思考信息安全战略并运用安永整合的安全方案，企业就可在预测最糟糕的情况的同时主动实施保护措施；欢迎变革而非抵制变革；可着重信任而非偏执。这样，企业就可通过有效的途径管理适当的风险并提升价值。