資安威脅成為關鍵風險,企業須積極調整商業風險管理策略

資安威脅成為關鍵風險,企業須積極調整商業風險管理策略

趨勢科技發布最新全球資安風險調查報告,報告指出全球有 90%、台灣為94% 受訪的 IT 決策者表示其企業願意為了達成創新、數位轉型、提升生產力或其他目標而對資安妥協。此外,台灣有高達89% 的IT決策者表示對於是否與董事會重申應正視企業資安風險倍感壓力,高於全球的82%。 

趨勢科技英國技術總監 Bharat Mistry 指出:「IT 領導人在董事會面前都會避免過度繁冗或負面的發言,而且幾乎有三分之一的受訪者認為自己無時無刻都感受到這股壓力。然而,這只會讓高層領導人持續忽視此風險而讓情況繼續惡化。因此,我們必須透過新的方式來談論風險,讓資安成為驅動企業成長的基本動力,讓 IT 和企業領導人能彼此合作,畢竟他們其實都為了共同的目標而努力。

「IT決策者向董事會報告資安風險狀況時,不能刻意淡化資安風險的嚴重性,或許會調整他們的用字遣詞來讓雙方更了解彼此並傳達正確的資訊。」Nuffield Health 的資訊安全與認證負責人 Phil Gough 表示。「這是商業資安策略溝通的第一步,也是最重要的一步。利用商業術語來闡述資安風險可以成功獲取高階管理層的關注,同時幫助他們認識到資訊安全是驅動商業發展的動能,而非企業創新的絆腳石。」

這份研究指出,全球僅有 50% 的 IT 領導人和 38% 的業務決策者認為公司的高階管理層 (C-suite) 充分了解資訊安全風險,其中有些受訪者認為其主要的原因是因為資安議題複雜且變化多端,卻也有很多人認為是公司高層未特別試著了解 (26%) 或者甚至不想了解 (20%) 所導致此現象。 

還有一點值得注意的是,IT 領導人和業務領導人對於誰該負起最終的風險管理與防範責任有不同看法,IT 領導人指向 IT 團隊和資安長(CISO) 的比例幾乎為業務領導人兩倍。49% 的受訪者認為資安風險仍是一項 IT 問題,而非商業風險。 

這樣的認知差異造成了嚴重的潛在問題:52% 的受訪者覺得其企業對於網路資安風險的態度前後不一、每個月都在變。然而,目前全球31% 的企業決策者認為資訊安全是今日經營環境中最大的商業風險,並有 66% 認為這是所有商業風險中成本衝擊最大的項目,這樣的看法似乎又與企業實際上在資安有妥協空間的態度相矛盾。

報告中並點出,受訪者認為以下三種情境將提升高階管理團隊認真看待資訊安全風險的機會:62% 認為,當企業實際遭遇資安事件;62% 認為,若能更容易在報告上呈現或解釋資安威脅所帶來的商業治理風險將會有所幫助;61% 表示,如果客戶們開始要求企業採取更有效的安全認證,將會對資安風險管理帶來實質影響。

「要讓資訊安全成為董事會層級的經營議題,高階管理層必須將其視為真正的營運業務來推動」Coillte 的企業安全架構師 Marc Walsh 表示。「這將促使 IT 和資安決策者以營運風險的角度向董事會闡明他們的挑戰,並需要請求董事會支持採行優先並積極的投資,而不是在發生問題時才來採取急就章式的補救方案。」

Hsuann
作者

T客邦特約編輯 ,負責產業即時報導、資訊整理

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則