趨勢觀察/強化資安韌性 降低商業風險
近幾年網路攻擊態勢變得更加嚴峻,觀察台灣近兩年企業重大事件的揭露狀況,除了金融、科技與電子零組件產業外,攻擊範圍也橫跨醫藥、汽車、觀光等各領域。
各國也持續修訂法規以應對不斷攀升的資安風險,如:美國證券交易委員會(SEC)去年即要求上市公司在四日內披露重大資安事件、歐盟網路安全指令NIS 2提高網路安全風險管理措施的要求等,以及今年5月下旬台灣證券交易所修訂了重大訊息問答集,要求上市公司一旦發生資安事件,無論是否涉及核心資訊系統、機密文件,都需要對外發布。
一年攔截1,610億次威脅
種種資安法規的頒布與命令,除了為強化企業對資訊安全的重視與管理外,也間接的呼籲企業高層與董事會應開始承擔起資安事件的責任。
然而,根據趨勢科技委託 Sapio Research 訪問全球2,600名在各垂直產業的資安長(CISO),其中包含100家台灣中大型企業受訪者的研究調查,有三分之一的資安長表示網路資安仍然被視為單純的IT風險。顯見仍有許多企業領導人忽略資安事件對企業營運、商業風險所造成的深遠影響,因此,資安長如何向上清楚傳達企業的風險狀況、雙方如何縮短認知差距,將成為企業能否做好商業風險管控的重要關鍵。
2023年,趨勢科技總共攔截了1,610億次威脅,五年前這數字才820億,這些資安威脅分布在企業的整體攻擊面(從端點到雲端),包括:電子郵件夾帶的惡意程式與變臉詐騙(BEC)、網路釣魚、危險的雲端應用程式、Living Off-the-Land,以及IT和OT的零時差漏洞。
利用平台發展共通語言
與此同時,企業為提升營運效率與客戶體驗投入數位轉型,其所帶來雲端應用程式、基礎架構、AI 專案、線上溝通工具等其他數位系統,也都成為駭客虎視眈眈的攻擊目標。企業若不慎遭受攻擊,將可能造成財務損失、營運中斷、信譽受損、遭受法律制裁等商業風險。
「董事會被動心態」與「資安長向上溝通」成現代企業實現資安韌性、降低商業風險的兩大阻礙。可惜的是,目前董事會對內部資安的心態與策略仍較為被動,約80%的受訪者表示唯有在發生重大資安事件造成財務損失時,董事會才會採取更果決的行動來對抗資安風險。但像這樣的應對舉措意味著企業只會購買一些零散的單一面向解決方案,不但增加了資安團隊的成本和複雜性,也造成了資安缺口難以消除、無法解決資安事件根本因素的窘境。
此外,資安長的向上溝通也是一大問題,全球約有79%、台灣更高達96%的資安長表示在董事會的壓力下不敢直接點出企業所面臨的資安風險。然而,面對快速變化的商業及資安風險,資安長更需要定期更新消息讓董事會隨時保持參與並掌握狀況,雙方應攜手合作、長期有系統地發掘並解決關鍵的資安風險才能真正達到資安韌性-即便在遭遇持續性攻擊時,關鍵業務服務仍能照常運作,進一步降低商業風險。
消弭溝通落差加強信任
目前,資安長的簡報大多充斥著各種專業術語和指標,難以回應董事會所提出與商業風險相關聯性的問題,如:「我們有多安全?」或「資安如何支援商業目標?」,導致資安團隊不易取得董事會的信任。
對此建議,資安長若要發揮影響力,需要減少使用術語,報告的呈現應簡短扼要、因果明確且次數要頻繁,利用如整合式「攻擊面風險管理(Attack Surface Risk Management, ASRM)」平台的資安工具將企業數位資產現存弱點、跨防護、偵測及回應等方面的系統狀況統整出量化且容易消化的資訊,並透過管理儀表板(executive dashboard)的形式呈現,幫助內部成員與董事會清楚了解風險狀況。
「共通語言」的創建將有助於資安長與董事會之間的信任,企業高層不僅能清楚掌握資安問題並將資安風險視為商業風險評估的重要環節,也進一步幫助資安團隊賦予更多的預算甚至被納入高層決策圈。
延伸閱讀
贊助廣告
商品推薦
udn討論區
- 張貼文章或下標籤,不得有違法或侵害他人權益之言論,違者應自負法律責任。
- 對於明知不實或過度情緒謾罵之言論,經網友檢舉或本網站發現,聯合新聞網有權逕予刪除文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。
- 對於無意義、與本文無關、明知不實、謾罵之標籤,聯合新聞網有權逕予刪除標籤、停權或解除會員資格。不同意上述規範者,請勿下標籤。
- 凡「暱稱」涉及謾罵、髒話穢言、侵害他人權利,聯合新聞網有權逕予刪除發言文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。
FB留言