担忧的情况。据 卡巴斯基实验室和B2B国际调查显示, 2014年,超过一半的公共部门企业因软件漏洞而遭受网络威胁。
普华永道网络安全风险分析与控制总监罗曼·查普雷金 (Roman Chaplygin) 表示,尽管遭受攻击的可能性越来越大,但企业在优化开支时,往往首先考虑信息安全:减少人员和预算,减少管理层的支持力度。原因是新的经济风险大于信息安全风险。
在这方面,安全专家应该与业务部门建立相互理解,罗曼·查普雷金说。
SPSR-Express 信息安全总监 Dmitry Manannikov 也持这种观点:“传统上,在与企业沟通时,安全专家会使用自己的术语:病毒攻击、商业机密泄露、个人数据保护受到侵犯等。这种方法被称为‘恐惧 沙特阿拉伯电报数据 交易’,过去效果很好。”
事实上,企业领导者需要一种安全感和信心,因此在平静时期,他们愿意投资于降低计算机威胁的可能性。
然而,危机期间,“恐惧市场”出现了新的“参与者”——大规模裁员、汇率变动、合作伙伴破产、制裁等等,这些风险比老企业更让企业感到恐惧。这使得信息安全部门“散布恐惧”变得更加困难。但另一方面,IT正日益渗透到商业领域,没有IT已经是不可能的。因此,旧的风险并没有消失,仍然需要解决。
罗曼·查普雷金建议寻找商业和安全之间的共同互动点,因为两者具有相同的目标,例如优化流程和消除冗余、提高劳动效率和培训人员,专注于最重要的和最有利可图的任务。
他认为,维持现状需要四个要素。首先是能力,人才是公司的资产。尽管有些员工必须被解雇,但他们可以转入合同制。也没有必要害怕自由职业者。
第二个要素是技术。 “现在应该关注这样一个事实:企业中有许多系统,其中一些系统具有重复的功能,而其他系统并未得到充分利用。 “因此,你可以放弃不必要的东西,”罗曼·恰普雷金说,同时建议关注免费软件。
第三个要素是成本效益,或者更准确地说,是成本优化。为此,您需要对信息安全项目进行优先排序,留下最赚钱的项目,放弃一些项目,冻结其他项目。第四,你需要了解企业担心什么,并将其转化为信息安全语言。