出處:http://tw.trendmicro.com/tw/threats/vinfo/weeknews/article/20090123092616.html

經濟衰退期的安全性
作者:Robert McArdle (安全威脅分析員)

美國國家經濟研究署 (National Bureau of Economic Research)宣布,美國自 2007 年 12 月起正式進入經濟衰退期,而且美國及全世界其他各地的 IT 預算很可能都受到嚴格的控管。我在週末曾與一位朋友聊天,他問我,是否預期許多公司會因為無法負擔專屬安全人員的預算而導致 IT 安全產業裁員。

老實說,是的,我認為情況會如此。不過,我也認為在 2009 年,整體 IT 安全性產業將會繼續成長;因為不論何時,歹徒都不會快速消失,而且他們許多現有的詐欺作法在這個景氣衰退時節也真的有用。長期來看,選擇不這麼認為的公司最終可能將會後悔。

一 言以蔽之,安全性工作可歸結為風險管理。每個組織機構必須加以保護的三個核心價值通常可以用縮寫成 CIA:Confidentiality (機密性)、Integrity (完整性)、Availability (獲利)。不同領域的不同組織各有其優先順序,但我認為,時值經濟衰退的此刻,最受影響的顯然是Confidentiality (機密性)與Availability (獲利)。

來自內部的資料外洩威脅已成為組織所面臨的最大風險,特別是「不滿員工」就 機密性而言,我們指的是組織私密資料必須受到保護。我所在的愛爾蘭這裡,11 月有 17,000 人的工作遭到裁撤。相較於其他國家,這不過是滄海之一粟,特別是美國,已經有 250 萬名員工失業。來自內部的威脅已成為組織所面臨的最大風險之一,特別是發生所謂「不滿員工」情況時更是如此。隨著大量員工遭到解雇,減薪等,這些員工就有 許多動機可能會進行資料竊取。

當人們發現雇主使他們身陷困境時,就更可能降低檢視自我對公司忠誠度的標準。如此一來,他們也許不再認為把公 司機密資訊帶出公司是偷竊行為。他們會覺得對這些資訊擁有權利,因為畢竟他們已經花了多年歲月工作,幫助公司成長。市面上出現相當多「資料外洩/遺失防 護」(Data Leak/Loss Prevention, DLP) 解決方案這一事實,正可說明此問題的嚴重性;而且我認為,在目前這個時節,「資料竊取/遺失」的情況將會繼續增加。

幾乎所有公司都正在努力審查其成本,並竭盡所能加以降低,但…

這 將我們帶到另一個重大因素:獲利。幾乎所有公司都正在努力審查其成本,並竭盡所能加以降低。不論這樣的措施是以員工數來計算,或僅僅是將大樓內所有自動控 溫器降低五度 (打這篇文章就讓我雙手凍紫了),許多公司都正如履薄冰,試著維持未來兩到三年的生存;就算是極輕微的災難都可能讓公司翻船。

這 正給予惡意程式可乘之機。最近的 WORM_DOWNAD.A 攻擊就很成功地感染了未修補的 Windows 電腦,有相當多公司成千上百部電腦遭到這個安全威脅的感染。清除這種威脅會耗費大量金錢,因為公司可能必須支付 IT 人員加班費以便修復問題,或者必須求助於外部承包商。不論如何,這都還不是真正的損失。想像一家 4000 名員工的公司。現在再想像一下,當系統在清除、修補與測試時,所有員工有三個鐘頭無法使用他們的電腦。這相當於該公司必須支付 12000 人工時數,卻毫無報酬。換句話說,等於是 6.5 名員工一整年的薪資,總計約 20 萬至 25 萬美元。在如今這個時刻,很少有公司有這樣的錢可以浪費。

因此,對於考慮刪減安全性預算的組織,應該想長遠一點,想清楚一點,在短期節省與潛在損失之間做個衡量。我希望,在未來幾個月內,不會有公司因為惡意程式的攻擊而導致破產;然而此時此刻,樂觀主義其實沒有多大用處。

@原文來源:Security in Recession

Copyright (c) 1989-2009 Trend Micro Incorporated. All rights reserved.

 

 

NO VIRUS:

企業資訊安全對於一家公司來說是極為重要,但有很多的公司卻吝於在這部份花錢,導致公司的資訊安全出現很大的危機,嚴重的資安輕者電腦不能使用,重則導致公司企畫或開發資料不見或被竊取,損失可謂非常的嚴重,但只依靠IT人員來維護,這有點頭痛醫頭的感覺,重要的還是要全體員工要有相對的資安觀念,這部分從上而下都是必須去給予重視的;至於員工本身資料的竊取這就很難防範了,除了商業間諜外,當然也存在對公司不滿的員工,這些都是導致資料易洩的管道,尤其不景氣的年代,怎個大環境充滿悲傷的想法,難保不會有更多對於公司不滿的人做出對於公司不利的做法,這部份就要仰賴公司領導的智慧囉。

創作者介紹

NO VIRUS BLOG

NO VIRUS 發表在 痞客邦 PIXNET 留言(1) 人氣()


留言列表 (1)

發表留言
  • littlesky116
  • 對阿.. 像我男友的公司.. 裁員後... 馬上不準碰電腦... 打包回家@@
  • 公司的做法也沒錯啦,雖然感覺現實了點,但離職的員工難保不會做出超出理智的行為,這以前有太多例子囉,但離職的員工可能感受上就會差很多,畢竟老闆和員工的角度是不同的。

    NO VIRUS 於 2009/01/25 10:45 回覆