安永發布<2023年全球資安長洞察調查>,雖然網路威脅的數量和成本不斷增加,但企業的資安長對於企業網路安全管理方案的有效性持續在苦戰當中。 此次調查全球 500 名的企業資安長發現,只有20%的受訪者認為其網路安全管理方案對於目前和未來面臨的網路威脅是有效的。50%的受訪者對企業所提供的資安培訓之有效性仍持懷疑態度,只有36%的受訪者對IT部門以外的團隊在採納業界最佳資安管理方針的程度感到滿意。
受訪者表示,與網路安全相關的成本不斷增加,且於2022 年受訪企業平均發生 44 起資安事件。受訪企業每年在網路安全方面平均支出3,500萬美元,
於2023年,資安事件造成企業損失中位數也增加了12%,達到250萬美元,預計未來將達到400萬美元。儘管資安相關的支出持續增加,企業對於資安事件的偵測和反應能力仍然不盡理想;76%的受訪者表示,他們的企業平均需要六個月或更長時間來偵測和因應資安事件。
安永諮詢服務(股)公司總經理張騰龍表示:「資安長們仍然覺得企業整體而言對於網路威脅的準備是不足的。尤其因為地緣政治不穩定加劇、經濟遠景不確定性和新興技術大量應用下,網路攻擊事件將持續增加,不滿程度更加令人擔憂。」
研究中被歸類為「安全創造企業(Secure Creators)」中,
有70%將自己定義為新興技術的早期採用者,專注於使用特定新興科技的解決方案來找到最大價值,例如使用人工智慧/機器學習(AI/ML)(62%)、資安事件自動化調度與回應系統(SOAR)(52%),使企業能清楚看到網路安全事件。
此外,他們制定特有的資安策略來管理多方面的資安攻擊:企業專屬的雲端、合作夥伴和專屬供應鏈。這類型受訪者高度關注供應鏈的網路風險(38%)及相關風險,例如智慧財產保護(38%)。
「安全創造企業」從企業的最高管理層到基層員工,都進行資安和相關培訓。
這些企業的資安長表示,他們的資安管理方法對於企業的創新轉型(56%)、快速跟上市場機會(58%)和專注創造價值(63%)的能力產生正面影響。
張騰龍指出,「資安長除了專注於新技術的運用,也需要更好地整合現有技術。企業中安全措施和流程的規模和複雜性,往往是對網路安全構成最大的威脅,而在企業中灌輸網路安全基礎,則是最好的資安防禦。」
本調查得出的主要行動要點包括:
- 簡化網路技術堆疊,以降低風險並提高能見度。自動化與協作可以減少技術環境的複雜性,以便能更快速地偵測信號並更有效地因應。
- 利用標準化與自動化來減少駭客對供應鏈的切入點,提高網路警覺性,並在不增加非必要機構的前提下持續監控性能。如此也可確保資安團隊在遴選供應商的初期階段就介入。
- 將平鋪直敘的內容轉化為故事情節,從降低風險、業務影響與創造價值等方面引起業務單位的共鳴。
- 結合漸進式且妥善設計的訓練與自動化和預防工具,透過設計讓員工具備資安意識。
- 將資安植入企業組織的結構當中,而非將其視為一種抑制因素。它能為企業提升價值,注入創新所必要的信心,並開啟新的收益與市場機會。