根據BSA|軟件聯盟的一項調查顯示,全球範圍内,每7分鐘就有一家企業遭到惡意攻擊。而根據普華永道的一項調查,2015年在中國内地和香港企業監測到的信息安全事件比2014年上升了5倍之多。僅在2015年,網絡攻擊給全球經濟造成損失超過4000億美元,同時,超過4910億美元用于解決與非授權軟件相關的惡意軟件問題;全球31%的高管表示他們的品牌或聲譽因為安全事件而受到損害。而在這些觸目驚心的數字中,金融等關鍵行業更是重點攻擊和侵擾目标。
軟件資産管理(SAM):超互聯時代信息安全的重要防線
超互聯環境下,信息安全建設是一個巨大的系統工程,需要整體調研、布局、部署、實施與維護,步步為營,方能将威脅與漏洞拒之于外。而在這個巨大的系統工程中,軟件資産管理(SAM)占據着極其重要地位。
但實際上,不少企業并沒有高度重視這自我檢查和管理的過程,導緻企業信息系統面臨病毒和網絡攻擊等各種安全隐患。據BSA|軟件聯盟今年5月發布的一個軟件調查報告顯示,在全球所有已經安裝的軟件當中,39%的軟件沒有經過授權,而在金融、證券、保險等關鍵行業中,高達25%的軟件未經過授權;全球49%的CIO意識到安全威脅來自于未經許可的軟件,但是僅35%的企業制定了相關的書面政策。
對于金融證券業來說,如果不能合理有效的管理軟件資産,不能确保網絡中運行的軟件100%合法或已經得到充分授權,無疑于是“引狼入室”般的行為——雖然金融證券業的正版軟件使用率一直領先于各行業,但25%的缺漏仍是讓人觸目驚心:這25%的背後更代表着軟件資産管理的巨大缺失與不足。當企業無法對與自身核心業務水乳交融的軟件資産實現100%正版化時,這說明企業未能完全了解自身所面臨的各種安全風險,更未從軟件的采購、授權、部署、維護到回收的全生命周期管理着手,未雨綢缪,未能将這種風險防範于未然。
如何築就網絡安全的重要防線
一般來說,僅需四步即可初步創建一個有效的軟件資産管理體系:
首先,需要對企業現有軟件資産進行審計,對所有的軟件及其合法性了然在胸,并确認這些軟件是否應該安裝,所有用戶是否都擁有适當許可。
第二步即是确定企業需要什麼樣的軟件資産,這是對未來軟件資産布局的一個瞻望與部署。在了解企業已擁有什麼樣的軟件資産之後,需要預測未來的需求,從這樣的執行步驟中,或能發現可能的成本節約途徑,并更好地利用軟件許可協議中的維護條款。
第三步是制定健全的軟件政策和管理流程,涵蓋企業的IT前沿與核心部分,從采購流程開始,管理軟件資産的全生命周期。
而最後一步則是讓軟件資産管理成為企業的一個工作流程,必須監控并确保企業始終遵守自己的軟件政策,并對員工開展持續的培訓。
實際上,軟件資産管理并不需要大量的資金投入與人力成本,但其帶來的回報卻是相當驚人的:不僅可讓企業确保信息安全,更能幫助企業厘清軟件資産,節省成本,提升軟件的投資回報率,并防範因軟件使用不當帶來的财産與聲譽損失。根據BSA|軟件聯盟最新的全球軟件調查報告表明,合理管理軟件能夠減少由于過度許可應用或隐藏未使用軟件造成的隐性低效現象,可有效節省高達25%的成本。
“我們都生活在這樣一個超互聯時代,網絡安全威脅是非常現實的問題,每天都在發生,并且日益複雜,一刻也未停止過。網絡風險來自于外部,而企業内部的管理漏洞會加劇這種威脅。企業隻要想要在全球生态鍊中生存、經營,就必須要了解自身所面臨的各種風險并管理這些風險,不能單單隻靠IT一個部門單打獨鬥,而必須在全企業範圍内實施有效的軟件資産管理,并讓其成為企業的一種内生體制。”BSA|軟件聯盟中國區市場傳播經理張凝女士說。