https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

新聞

「業務資安長」改善資安與商業流程整合的系統性挑戰

2021 / 02 / 01
編輯部
「業務資安長」改善資安與商業流程整合的系統性挑戰
趨勢科技公布一份委託 Enterprise Strategy Group (ESG) 所做的「Cybersecurity in the C-suite and Boardroom」(網路資安在高階經理人與董事會心中的地位)調查指出,目前資安與商業流程整合存在著系統性挑戰,並也點出前三大董事會必須關心的資安策略。
 
這份針對北美及西歐中大型企業的研究發現,僅有 23% 的企業認為資安與關鍵商業計畫的配合相當重要,為解決這項核心挑戰,該報告提出以下三點建議:
  1. 增加一個「業務資安長」(Business Information Security Officer , BISO) 職務來改善業務與資安之間的配合。
  2. 成立一個由上而下的可量化計畫來協助資安長 (CISO) 改善與董事會的溝通。
  3. 改變組織結構,讓 CISO 直接對執行長 (CEO) 呈報。 
除此之外,這份研究也發現當董事會更了解也更投入資安討論時,就會開始問一些更難的問題、更能深入挖掘問題核心、也更有可能跳脫技術層次來思考業務問題。
 
絕大多數的受訪者 (82%) 表示,由於威脅不斷升高、企業受攻擊面逐漸擴大,再加上企業流程對科技越來越依賴,過去兩年網路資安風險已變得更加嚴峻。然而,儘管企業在過去一年已加快了數位轉型的進程,但仍有受訪者認為資安大部分屬於 (41%) 或完全屬於 (21%) 技術的範疇。
 
資安威脅防護未獲重視的情況在董事會尤其明顯,儘管有 85% 的受訪者表示現在的董事會已經比兩年前更加關心資安決策及策略,但董事會通常是因為企業發生資安事件、或者出現新的法規遵循要求、抑或是因為 CISO 制定了一項資安計畫才被動參與。
 
事實上,有 44% 的受訪者表示,他們的董事會對許多關鍵的資安營運不太關心。這意味著許多董事會都只願意提供最少的資金來達成法規遵循與資安的基本要求。
 
趨勢科技網路資安長 Ed Cabrera 表示:「坦白說,只求夠用的資安防護在今日的網路資安風險情勢下顯然是不夠的。這份報告真實反映了之前與許多 CISO 的對話,突顯出董事會投入程度不足可能導致企業整體資安體質不佳,使得資安無法與商業流程有效整合。唯有執行長和企業董事以身作則,才能讓企業培養出資安文化,讓每一位員工相信自己在企業資安扮演著不可或缺的角色。」