如今，人们对信息安全问题特性的关注达到了有史以来最高峰。一美元的IT投入中就有15美分是用于信息安全方面，安全员工的雇佣比率也是逐年攀升。不过令人不解的是，相对而言，企业信息安全状况并没得到多大改善。　　

今年已是连续的第5年CIO、CSO和普华永道通过携手实施“全球信息安全状况”调查——全球最大最全面年度信息安全调查，分析并总结一年的安全状况。

调查所问第一个问题常是：企业对现有信息安全状况感到担忧吗？还是恼于认识到不论花多少时间、多少金钱来努力防止这些“现代瘟疫”——垃圾邮件、bots、rootkits等，它们仍将持续对企业发动攻击？

1、为什么信息安全问题今年格外多

今年的信息安全问题比以往任何时候都更为突显。当然，我们发现这完全得归功于企业所创建的用来观察信息安全状况的工具和系统。例如：

添加了流程。3年前，在所报告企业中仅37%部署了整体信息安全战略。今年这一比率则上升到了57%。此外，在所报告企业中约有4/5都实施了企业风险评估，且至少都有定期进行。

部署了技术。10个受访者中有9个表示他们有使用到防火墙、用户网络监控技术及入侵检测基础设施。当将受访者范围缩小到较大型企业（年收入在10亿美元以上）时，这一比率就接近98%。而且加密技术使用达到了有史以来最高点，报告中有72%的受访都多少都有使用到这一技术，而去年这一比率仅为48% 。

雇拥了信息安全人员。对CISO（首度信息安全官）和CSO（首席安全官）的雇佣比率持续上升。企业信息安全工作人员平均人数在100个以上，当然其中最大原因可能在于外包服务的增多以及合同工使用的增加。

现在，企业一般都设置了智能的基础设施。现在企业能很好地了解到安全状况，这也正是企业您开始感到担忧的原因所在。

如今的安全意识可能是达到了历史的最高峰，但知道不等于做到，意识并不会带来改进。可悲的是，迄今为止所做的努力并没实现从意识到行动的飞跃。

“现还未达到下一个成熟度水平”PWC（普华永道）咨询服务负责人表示。“我们是掌握有技术，但我们现在仍围着‘哪些信息是重要的’‘哪些信息我们应给予网络监控和信息加密保护’等问题打转。我们常常会听到控制台有这类对话‘呀，信用卡号码正穿过防火墙泄露出去，这是PCI问题吗？会对实际业务有影响吗？’”

基于企业安全问题不断增加，越来越多的企业开始意识到部署监控软件的重要性，以著名监控软件Anyview(网络警)为代表的局域网监控软件产品，15年来被成千上万的企业部署，另外通过部署透明加密软件企业的关键数据也得到了很好的保障； 

2、安全部署增多问题更加凸现

5年前，“全球信息安全状况”调查报告显示：36%的受访者表示他们是零安全事件。今天这一比率则下降为22%。

这是否意味着现在安全事件更多了呢？我们并不这么认为。我们认为这仅意味着有更多企业意识到了安全事件，一直以来这些都有发生安全事件，只是他们并未意识到这些事件的属性，直到近期他们才意识到这些都是信息安全事件。现在，人们知道了那些以往莫名其秒的网络停机也是安全事件。

也许在此之前，垃圾邮件爆发并不被考虑为信息安全事件，但现在电子邮件有可能会提供恶意软件，因此它也被列入是安全事件范畴。现在说到人们安全意识提高，不得不归功于企业花了过去5年时间创建了能够了解到安全情势的基础设施。

现在，人员、流程和技术的基线部署都呈现持续稳步的增加，有时还出现大幅上扬趋势，但在那些仍未适当部署技术的企业中，技术的增加仍在其优先级任务中排在极末位置。这也显示出大多数人虽认为他们需要这些技术但现在却仍未真正落实。

今年是“员工”第一次打败了“黑客”，成为信息安全事件最大可能来源的标志性一年。安全领域的主管是对安全事件最有发言权的，他们甚至可能直接就称员工为信息安全事件元凶。

是否员工忽然变得带有更多恶意？是否内部工作忽然比过去的更为时尚和高效？也许并不。大多数安全专家会告诉你内部人员威胁是相对稳定的，也通常比受害人所怀疑的要更为严重些。当然，我们中没人会想要故意怀疑自己的员工。

而漏洞和攻击的责任可能得归咎于员工身上这个小石头，无疑将在那些报告说零信息安全事件的企业中掀起滔天大浪，——这是管理人员突然能够认识到有些问题一直存在但先前却无法确定的正常反应。