企业为什么要建设网络信息安全,这就要看看建设网络信息安全到底有什么收益。
网络信息安全的收益到底是什么呢?有人说不就是保护信息资产,减少损失嘛。但实际上,网络信息安全建设的收益远不止如此。
首先,信息安全是企业文化的重要组成部分,它代表的是尊重知识产权的宣言,倡导的是劳动创造价值的正能量。对内部员工以及管理员而言,在这种文化氛围的影响和熏陶下,减少了主动或被动泄密的可能,为窃取企业知识产权的行为产生厌恶感;对外部潜在的竞争者或入侵者,它代表的是一种捍卫知识产权的宣言,有助于形成一定的威慑力,减少入侵事件,倡导公平有序的竞争。
其次,是保护核心的信息资产不被当前或潜在的竞争对手窃取,进行针对性防御,形成市场优势。针对性防御就像国安局,要明确的知道对手是谁,他们想要什么,然后进行相应的安全控制措施。信息安全建设要有的放矢,避免万里长城式的全面防御。
第三,建立基本的IT安全基础设施,支撑业务的正常有序开展,不受安全事件破坏或窃密,提供不间断的高可用服务。这些安全基础设施和基本安全服务就像公安局和派出所,不能保证片区完全不出问题,但能够维持基本的治安环境,不能任由黑客出入或者员工泄密而不管不问。在支撑业务发展的前提下,兼顾安全与效率的均衡。
第四,将安全融入IT开发/建设流程,从生命周期全过程保障IT系统的安全性。如安全纳入需求,方案安全性审核,安全测试,安全验收,上线后的安全运营等。不至于让上线的系统存在轻易就能利用的漏洞,影响业务的安全性,即使发生入侵事件,也能够通过安全事件监控和分析发现并进行及时的修补。
第五,对客户而言,有助于建立信任和品牌,让客户感觉到企业提供的产品或服务是安全的,从而提供品牌美誉度和用户粘性,并进一步扩大市场、提高销售额。例如,企业提供安全的云服务,用户会认为他们的数据存放在这种云服务系统里是值得信赖的。又如,企业通过公认的国际信息安全认证,如ISO 27001,甚至是进入某些市场的准入门槛。