法規驅動資安投資升溫,供應鏈數位化的資安缺口引關注
成立於2004年的數聯資安,擁有全台首座企業級資安監控中心(SOC),2009年成為遠傳100%子公司後,整合集團豐富資通訊網路資源,提供專業資安監控、檢測、治理等解決方案及顧問服務,成為企業數位轉型路上最可信賴的資安夥伴。
數聯資安總經理李明憲觀察,近來企業關注的供應鏈資安議題主要有兩個面向,一個是從技術面去應對供應鏈上下游數位化串聯所形成的間接攻擊威脅,以及軟體開發來源是否被內植惡意軟體而形成的資安缺口;加上疫情以來大量遠距工作引發的資安風險,「零信任(Zero Trust)架構概念」也受到更多產業的重視。
資安長須理解企業商業價值,從管理面完善風險排序與資源配置
另一個面向則是管理面,去年底金管會公告要求111家第一級上市公司設置資安長與專責人員,並且對資訊資產盤點、資安管理制度的建立稽核等都有完整規範,帶動了企業的剛性需求,加上ICT、半導體等供應鏈受到國際大廠客戶的要求,因此今年以來導入ISMS資訊安全管理制度/ISO27001認證受到高度詢問。
李明憲建議,企業應洞悉資安指引背後的意義:資安就是風險管控,當資源有限,要找出最優先防護的重要資產,並每年重新盤點風險來源。例如企業因應疫情從實體通路轉進電子商務,當營運模式改變,資安的重點就應有所調整。
由此來看,企業如何找到合適的資安長?李明憲也建議,「技術純熟非首要考量,資安長應對企業的商業營運模式有充分理解,能據此定義風險來源並排序重要性,進而作資源配置和建立制度。」以製造業來說,重要資產可能在OT端,不在IT的管轄範圍,因此資安長要跳脫傳統IT的框架,從更高點來思考風險和資源配置。
破除迷思:資安非零和遊戲
未來靠AI大數據應對進化的風險
李明憲也提醒,過去的思維可能以為投入資安防護就不會發生事件,但進入到數位化與物聯網的時代,資安風險範圍太廣,佈防成本相對提高,因此最重要的還是損失要可控管。
隨著風險不斷進化,李明憲也期許數聯資安結合母公司遠傳的「大人物(大數據、人工智慧、物聯網)」策略,針對數量龐大的資安事件及告警,運用大數據的整合關聯分析,並透過AI機器學習來偵測異常行為,及早找到潛藏的風險和威脅來源,以差異化的解決方案,成為資安託管服務供應商的領導者。
• 免費諮詢資安服務: https://fetnet.tw/NA7QHN0L1T
• 了解更多遠傳資安服務: https://fetnet.tw/S50BC50L1U
