全球 18 大企業專家建議：企業資安政策應多想三年！

流動裝置、IoT 等趨勢，令互聯網的應用已近乎無處不在，而就在這種大潮流下，洞悉不同網絡危機之中的構造當然能對防禦部署有絕對幫助；不過並非每家企業都有能力「聘請」白客留守公司，並為企業之中的網絡配置進行持之以恆的攻擊，藉以找出漏洞；於是很多企業便會考慮到增加在保安修復方案上的投資，這絕對是一項正確的決定。近日難得一見，由全球 18 大企業保安領袖協助企業創新資訊安全委員會（SBIC）進行的調查報告便建議企業應加強對網絡保安的投資，藉以應對各種網絡威脅。

由企業創新資訊安全委員會（SBIC）進行的研究報告就資訊保安技術投資提出三大重要範疇及具體的安全技術建議，讓企業建立更佳的預測性防禦，並同時提高業務生產力。這個主題為「Transforming Information Security: Focusing on Strategic Technologies」的報告，列舉出資訊保安技術投資的三大策略性範疇，包括加強網絡威脅復原能力、改善終端用戶體驗，以及提升雲端的安全性。報告同時羅列資訊保安業界最資深的領袖提出的建議，讓企業在考慮複雜的部署時，大幅提升保安效能，並把資訊保安投資效益最大化。

委員會成員的主要工作，是負責觀察資訊保安技術領域中各項主要創新的發展，他們發現，這些主要創新技術未被完全開發，或是技術被應用的速度未如理想。企業現已意識到資訊保安漏洞是無可避免，並致力把其影響減至最低。因此，資訊保安領袖對提升網絡威脅復原能力的策略和技術的重視已遠多於防禦，亦會優先考慮投資一些有更佳漏洞偵測和回應能力的解決方案。然而，報告提及，海量數據分析是加強防範網絡威脅的必要措施。

新一代的反惡意程式技術也被視為企業在標準保安功能上必需添加的新技術。委員會成員特別指出改善終端用戶體驗以提升企業效率的重要性，及建議投資較靈活的身份認證及存取管理方式（Identity and Access Management）來減低風險。此外，報告亦審視專為協助企業提供可視性和控制能力的雲端資訊保安服務之最新承諾。

委員會詳列三大建議，為成功地部署新技術及把資訊保安投資效益最大化提供具規範性的指引。

1. 最少 3 年的展望

運用 SWOT 分析讓 IT 與業務掛勾，建立覆蓋整個企業的海量數據策略，企業可於動態的保安威脅環境下制定所需的資訊保安能力。

2. 透過整合擴闊視野

現今企業投資在安全技術上，最大的得益主要在於連接和整理來自各種應用程式的資訊，如今技術可協助企業更簡便地整合系統，包括數據分析，保安情報和管治、風險及法規平台。

3. 透過技術規範化發揮系統最大價值

習慣了面對技術轉變所產生的隱患、資金缺乏、新產品不達標等困難的領先資訊保安團隊，應考慮制定詳細的部署計劃以主動管理這些風險。

企業創新資訊安全委員會由來自全球 1000 家公司的頂尖資訊保安領袖組成，致力分享專業意見和分析，以提高全球資訊保安。委員會定期發表研究報告，探討資訊保安於帶動企業創新的重要角色。報告獲來自以下全球最大企業的 18 位資訊保安領袖參與：

ABN Amro
ADP, Inc.
AstraZeneca
Coca-Cola
eBay
EMC Corp.
FedEx Corp.
Fidelity Investments
HDFC Bank Ltd.
HSBC Holdings plc.
Intel
Johnson & Johnson
JPMorgan Chase
Nokia
SAP AG
TELUS
T-Mobile USA
Walmart