近年上市櫃公司只要發生資安攻擊事件,就得發布重訊告知投資大眾,為近一步強化企業在資安的管理機制,金管會在去年底修法要求上市櫃公司在今年起增設資安長並成立資安專責單位,顯示企業將把資安納入公司治理,以降低商業營運風險。
規範公告至今已有不少企業採取行動,根據資安大廠趨勢科技今(15日)最新研究報告指出:「企業對於網路資安投資不低,但企業內部IT團隊與高階管理層的參與度不足,將使企業暴露更高的資安風險。」
網路資安趨勢變化快,企業高層往往跟不上
趨勢科技委託研調單位Sapio Research 訪問了來自 26 個國家、員工人數超過 250 名的企業,共 5,321名IT 與業務決策者。過去兩年企業面對大量的駭客攻擊,在受訪的IT及業務決策者當中有超過 90% 表示對勒索病毒的攻擊特別憂心。
即便大家都知道資安很重要,但調查顯示,僅約半數 (57%) 的 IT 團隊會至少每周一次和高階管理層開會討論網路資安的風險。趨勢科技執行長陳怡樺表示:「儘管有越來越多高階經理意識到他們有責任了解企業的資安狀況,但卻經常跟不上網路資安情勢的快速演變。」顯示企業 IT 領導人必須設法與董事會溝通,以大眾可以理解的方式,讓他們知道企業正面臨哪些風險。
過去有企業宣稱自己的資安做得很好,但多半抱持「花錢消災」的心態。有42%受訪者表示公司花最多預算在防範網路攻擊以降低企業風險,甚至高於一些常見的企業專案支出如:數位轉型 (36%) 和人員轉型 (27%)。更有將近一半 (49%) 的受訪者表示,公司最近曾經增加投資來降低勒索病毒攻擊與資安事件發生的風險。
雖然企業願意砸大錢購買資安設備,但高階管理層對資安管理參與度仍不足。報告提到, 全球僅46%受訪者認為公司內部充分了解「網路資安風險」與「網路資安風險管理」的概念,台灣在這方面的數字表現更低於全球,僅有41% 。
企業在資安防護上除了要抵擋外部的駭客攻擊,公司內部員工的資安意識、有無遵守資安規範也很重要,才能在資安防護上做到對內、對外的保護滴水不漏。
誰該扛下管理資安風險的責任? 調查顯示:執行長
對於多數的IT人員來說,希望培養「資安從設計階段就開始」的企業文化,全球更有77%受訪者,希望企業內部有更多人願意承擔管理網路資安風險的責任。
到底誰該負起這個責任?全球大多數的受訪者 (38%) 認為「執行長」最應該負起責任,其次是公司IT團隊 (35%) 、資安長 (28%);在台灣,多數受訪者 (38%) 則點名「資安長」是最應該負起責任的角色,其餘則認為是IT團隊(34%)、執行長(32%)。雖然報告並未解釋為何有這樣的差異,但可以推估國外企業在設立資安長的趨勢跑得較快。
另一份勤業眾信聯合會計師事務所發布的「2021年網路資安大調查」發現,美國資安長直接向企業CEO報告的情況,從2019年的32%提升到2021年的42%,全球平均統計結果約33%,都反應公司高階主管對於資安的重視。
不論是全球或地域性的結果,都點出了企業高階管理層、IT團隊與資安長對公司資安治理應合作與參與的重要性。
責任編輯:侯品如
