2022年企业高层、IT与安全人员的参与合作能有效降低安全风险

面对日趋严峻的安全环境,金管会修法要求千家上市柜公司今年底前增设首席安全官并成立安全专责团队,更明定公司应在公开说明书及年报上详细披露安全风险对财业务的影响与应对措施。企业内部安全治理集成,将成为未来降低安全甚至商业风险的重要关键。

趋势科技发布一份新的研究报告指出目前企业内部IT团队与高端管理层的参与度不足可能危及企业在网络安全上的投资,使得企业暴露更高的安全风险。在受访的IT及业务决策者其中有超过90%表示对于勒索病毒的攻击特别感到忧心。尽管企业对于日益升高的威胁感到忧心,这份研究却发现,仅约半数 (57%) 的IT团队会至少每星期一次和高端管理层开会讨论网络安全的风险。

趋势科技首席执行官陈怡桦表示:“以往,漏洞在被发现之后大约需经过好几个月、甚至数年之后才会出现相关的攻击手法。但现在却只需数小时、甚至更短的时间。尽管有越来越多高端经理意识到他们有责任了解企业的安全状况,但却经常跟不上网络安全情势的快速演变。企业IT领导人必须设法与董事会沟通,以他们可以理解的方式让他们知道企业正面临哪些风险,以及如何以最有效的方式管理风险。”

所幸,企业目前在网络安全方面的投资并不低,将近半数 (42%) 的受访者表示公司花费最多预算在防范“网络攻击”以降低企业风险,甚至高于一些常见的企业项目如:数字转型 (36%) 和人员转型 (27%)。除此之外,有将近一半 (49%) 的受访者表示公司最近曾经增加投资来降低勒索病毒攻击与安全事件发生的风险。

然而,在投资增加但高端管理层仍对安全管理参与度不足的情况下,间接意味着企业只是抱着“花钱消灾”的心态,并非先了解网络安全的挑战,再来采取适当的投资。这样的做法反而让企业无法采用一些更有效的策略,甚至可能面临更大的财务损失风险。根据这份研究报告统计,全球只有不到一半 (46%) 的受访者认为公司内部充分了解“网络安全风险”与“网络安全风险管理”的概念,而台湾在这方面的数字表现更低于全球,仅有41%。

全球77%、台湾更有88%的受访者希望企业内部有更多人愿意承担有效管理与防范这些风险的责任,如此将有助于培养“安全从设计阶段就开始”的企业文化。不过有趣的是,全球大多数的受访者 (38%) 认为首席执行官最应该负起责任,其次即是公司IT团队 (35%) 与首席安全官 (28%);但在台湾,大多数的受访者 (38%) 则是点名首席安全官是最应该负起责任的角色,而后才依次为公司IT团队 (34%) 与首席执行官(32%)。不论是全球或是地域性的结果,皆点出了企业高端管理层、IT团队与首席安全官对公司安全治理的合作与参与,将成为帮助降低企业安全风险的关键焦点。