企業高層、IT與資安人員的參與合作能有效降低資安風險

面對日趨嚴峻的資安環境，金管會修法要求千家上市櫃公司今年底前增設資安長並成立資安專責團隊，更明定公司應在公開說明書及年報上詳細揭露資安風險對財業務的影響與因應措施。企業內部資安治理整合，將成為未來降低資安甚至商業風險的重要關鍵。趨勢科技發布一份新的研究報告指出目前企業內部 IT團隊與高階管理層的參與度不足可能危及企業在網路資安上的投資，使得企業暴露更高的資安風險。在受訪的IT 及業務決策者當中有超過 90% 表示對於勒索病毒的攻擊特別感到憂心。
 
儘管企業對於日益升高的威脅感到憂心，這份研究卻發現，僅約半數 (57%) 的 IT 團隊會至少每星期一次和高階管理層開會討論網路資安的風險。

趨勢科技執行長陳怡樺表示：「以往，漏洞在被發現之後大約需經過好幾個月、甚至數年之後才會出現相關的攻擊手法。但現在卻只需數小時、甚至更短的時間。儘管有越來越多高階經理意識到他們有責任了解企業的資安狀況，但卻經常跟不上網路資安情勢的快速演變。企業 IT 領導人必須設法與董事會溝通，以他們可以理解的方式讓他們知道企業正面臨哪些風險，以及如何以最有效的方式管理風險。」
 
所幸，企業目前在網路資安方面的投資並不低，將近半數 (42%) 的受訪者表示公司花費最多預算在防範「網路攻擊」以降低企業風險，甚至高於一些常見的企業專案如：數位轉型 (36%) 和人員轉型 (27%)。除此之外，有將近一半 (49%) 的受訪者表示公司最近曾經增加投資來降低勒索病毒攻擊與資安事件發生的風險。
 
然而，在投資增加但高階管理層仍對資安管理參與度不足的情況下，間接意味著企業只是抱著「花錢消災」的心態，並非先了解網路資安的挑戰，再來採取適當的投資。這樣的作法反而讓企業無法採用一些更有效的策略，甚至可能面臨更大的財務損失風險。根據這份研究報告統計，全球只有不到一半 (46%) 的受訪者認為公司內部充分了解「網路資安風險」與「網路資安風險管理」的概念，而台灣在這方面的數字表現更低於全球，僅有41%。
 
全球77%、台灣更有88%的受訪者希望企業內部有更多人願意承擔有效管理與防範這些風險的責任，如此將有助於培養「資安從設計階段就開始」的企業文化。不過有趣的是，全球大多數的受訪者 (38%) 認為執行長最應該負起責任，其次即是公司IT團隊 (35%) 與資安長 (28%)；但在台灣，大多數的受訪者 (38%) 則是點名資安長是最應該負起責任的角色，而後才依序為公司IT團隊 (34%) 與執行長 (32%)。不論是全球或是地域性的結果，皆點出了企業高階管理層、IT團隊與資安長對公司資安治理的合作與參與，將成為幫助降低企業資安風險的關鍵焦點。
 
在這份研究之前，Trend Micro Research 還有另外一份研究指出業務經理與 IT 主管之間對網路資安的認知有很大差距，其問題主要來自於拒絕接受網路資安專家的意見，以及對於誰該負起最終責任有不同的意見。