正在被忽视的风险—信息安全

水可载舟亦可覆舟

有人说过我们生活在一个美好的时代，但同时又有生活在一个不好的时代，因为在自然链中应该没有绝对的，而是相对的，不然怎么会有“乐极生悲”这一说法呢…

美好是因为生活在互联网高速发展，科技发达且不断提高更新的时代，给生活等方面带来了前所未有便利，同人们享受着这样的便利，然而对于很多人来说这样的“便利”给人们也带来了不对好的，例：沉迷于网络、越来越懒惰、大脑失去思考接受过多的垃圾信息、网络暴力等等...

我要说的“不好的”并不是上面所列举的，说的是一个往往被很多企业忽略的风险，这个风险就是------信息安全（资通安全）

互联网、高科技发达的现在使得人们联系沟通的便利性不断的提高和便捷，信息数据分享传输的工具也变得越来越多，在工作中现在越来越多的人都经常性，甚至普遍性的会使用：微信、QQ等社交App沟通及传输各种资料，甚至很多企业高层都说：“你微信发给我”，没错这样的社交App给工作带来的效率，提高了及时性，然而这样的习惯却让人们忽略了什么呢？

忽略的就是“企业信息安全”的风险，而这个风险有很大程度上会是企业致命的风险！

在4年前（2014年）思科、IBM分别对“信息安全”做了分析，根据当时安全报告中就说明：基于与“泄露”的记录和财务损失相关的信息；愈加多样的威胁侵蚀着传统IT防御(比如防火墙和防病毒软件)的有效性，甚至在许多情况下完全避开了这些控制。而4年过去了，及时通讯等社交App越来越多，企业面临的“信息安全”变得越来越“恐怖”，用恐怖绝对不是杞人忧天，想必很多人在平时都会收到一些“奇怪的信息”，请问你的个人信息，对方是如何知道的呢？

2018年全球信息安全情况调查反馈，有46％受访者表示客户数据泄露是最直接影响，财务损失（38％）和商业邮件入侵（36％）紧随其后；在如今的企业中面临着网络安全的挑战，相关监管的法律法规也在不断的完善，例如：2017年6月生效的《中国网络安全法》、2018年5月开始施行的《GDPR-General Data Protection Regulation通用数据保护条例》（注：此条例前身是欧盟1995年制定的《计算机数据保护法》），然而企业自身对于信息安全的控制又如何呢？

回到企业的内部，对于“信息安全”的保护有做了什么呢？北京大学中国经济研究中心曾经做过一个调查：国内企业对于信息化建设和系统应用方面的的累计投入占企业总资产的比例仅为0.22%，而欧美等国家企业对信息化投入占比资产的比例一般5%以上。虽然近几年企业对信息化建设和系统的投入有所增加，然而依然差距非常的大。

从企业对信息化建设和系统应用方面的投入就可以看出，很多企业对于“信息安全”真的就是在“忽略”，大量使用不需要费用的通讯工具“微信、QQ”社交平台使用传输企业各种数据资料，致使企业很多数据及资料完全暴露或者泄露，而没有任何的控制，无法追溯；记得之前某IT公司董事长兼CEO还说：“中国人对隐私问题更加开放，也没有那么敏感。如果他们可以用隐私换取便利、安全或者效率，在很多情况下他们是愿意的。”（笔者绝对不同意）如果一个IT公司的高层都如此的讲，可以看出国内企业对于数据信息的安全完全就是忽略的。

现代化商业的今天，数据信息对于企业的发展是非常的重要，数据信息贯彻整个企业的运营，不管是财务分析、销售分析、预算分析及控制、成本及费用分析、效益利润分享、投资融资分析，以及企业未来发展的战略部署和重大决策都离不开数据信息，一旦数据信息泄露，被竞争对手取得，那将给企业带来的是致命的风险；然而很多企业却忽略了对于数据信息的保护，企业内部大量的使用社交平台沟通工作和传输企业数据，缺乏有效管控。

国内很多企业并没有专职的IT审计（除开金融银行），更多企业的高层只是关注在除IT审计的其他方面比如：经营审计、采购审计、销售审计、财务审计、工程审计、费用审计……等等，导致企业信息安全缺乏关注，往往都是出现问题和损失的时候再问为什么的恶性循环。

或许很多企业会说有签“保密协议”，我只想说：醒醒吧！没有管控的保密协议，那是等于默许；我相信很多人职业道德是高尚的，但也知道面对利益的诱惑，道德的厚度一捅就破。往往都是企业给提供如此的机会。

科技发展再不审慎明智，有人就可能摇身一变成为刽子手。

山雨欲来！相连，相依，欲脆弱。

您所在的企业多久没有进行“信息安全”（资通安全）审计了？

您关注过企业数据信息资料从输入到输出的过程吗？

您觉得企业使用社交平台软件（微信、QQ）等对企业信息安全带来的风险大吗？