普华永道中国风险管理及内部控制服务合伙人冼嘉乐在接受《证券日报》采访时称,近几年IT环境开始出现颠覆性变化,信息安全问题也随之出现了较为明显的变化,其中之一是“移动智能终端成为信息安全的‘重灾区’,恶意软件层出不穷,严重威胁用户隐私与合法权益。”
应对成本飙升
普华永道最新调查结果显示,无论信息安全事故起源何处,企业的应对成本正在飙升:全球上升了18%,亚太地区上升了28%。
同时,信息安全事故的发展线路也有鲜明的特征可循。“信息安全攻击点由传统的信息系统转向应用和数据,且数据泄漏导致的后果越来越重,影响的范围也越来越广。移动智能终端成为信息安全的‘重灾区’,恶意流氓软件层出不穷,严重威胁用户隐私与合法权益;云安全问题是不可忽略的,包括云计算数据和系统的可用性问题,云服务提供商不能单靠服务等级协议(SLA)条款解决数据存储和应用安全的可靠性问题;大数据有助于提供创新业务模式、提高客户体验度,但其提供商有可能放松了信息安全风险管控,在金融行业,尤其是在创新支付模式下,这种风险被直接予以放大。所以,我们利用最新IT技术便捷业务流程的同时,更应强调重视安全风险控制。”冼嘉乐称。
多手段平衡新兴商业模式风险
今年12月,随着4G牌照的发放,2014年成为4G元年,这也对移动互联网大发展的信息安全管控提出了更高的要求。2014年普华永道信息安全调查的显示,信息安全主要威胁来自:设备丢失或被盗,移动终端的病毒、间谍程序和恶意软件,与移动支付安全等。刚由工信部颁发得4G牌照将助推移动应用市场,从一个侧面也将加大移动安全防护工作的压力,但作为互联网连接通道的一种,无论是WIFI、3G还是4G,从信息安全保护的角度来看区别不大。
对此冼嘉乐建议:“我们需要评估当前移动应用程序的安全性,确定和实施移动设备最佳管理方法,制定相关移动安全策略和技术手段来管控设备安全、数据访问和存储,同时将领先实践经验与系统开发生命周期(SDLC)联系起来,从源头上管理移动应用的安全,定期进行风险评估,更新相应的补救策略,以确保移动安全防护策措施的有效性。”
除了技术发展,新兴商业模式也对信息安全提出了更多的要求,例如在2013年大行其道的互联网金融。对于该领域,冼嘉乐及普华永道风险管理及内部控制服务部门高级经理赵伯昕、经理叶天斌皆认为,“要从政策层面对信息安全进行规范,且行业要自律;此外,行业链条中的每个环节,可由第三方互相监控;此外,也要充分利用新技术来规避风险。”