企业高层、IT与资安人员的参与合作能有效降低资安风险

企业高层、IT与资安人员的参与合作能有效降低资安风险

面对日趋严峻的资安环境，金管会修法要求千家上市柜公司今年底前增设资安长并成立资安专责团队，更明定公司应在公开说明书及年报上详细揭露资安风险对财业务的影响与因应措施。企业内部资安治理整合，将成为未来降低资安甚至商业风险的重要关键。趋势科技发布一份新的研究报告指出目前企业内部IT团队与高阶管理层的参与度不足可能危及企业在网络资安上的投资，使得企业暴露更高的资安风险。在受访的IT及业务决策者当中有超过90%表示对于勒索病毒的攻击特别感到忧心。

尽管企业对于日益升高的威胁感到忧心，这份研究却发现，仅约半数（57%）的IT团队会至少每星期一次和高阶管理层开会讨论网络资安的风险。

趋势科技执行长陈怡桦表示：「以往，漏洞在被发现之后大约需经过好几个月、甚至数年之后才会出现相关的攻击手法。但现在却只需数小时、甚至更短的时间。尽管有越来越多高阶经理意识到他们有责任了解企业的资安状况，但却经常跟不上网路资安情势的快速演变。企业IT领导人必须设法与董事会沟通，以他们可以理解的方式让他们知道企业正面临哪些风险，以及如何以最有效的方式管理风险。」

所幸，企业目前在网络资安方面的投资并不低，将近半数（42%）的受访者表示公司花费最多预算在防范「网络攻击」以降低企业风险，甚至高于一些常见的企业项目如：数位转型（36%）和人员转型（27%）。除此之外，有将近一半（49%）的受访者表示公司最近曾经增加投资来降低勒索病毒攻击与资安事件发生的风险。

然而，在投资增加但高阶管理层仍对资安管理参与度不足的情况下，间接意味着企业只是抱着「花钱消灾」的心态，并非先了解网络资安的挑战，再来采取适当的投资。这样的作法反而让企业无法采用一些更有效的策略，甚至可能面临更大的财务损失风险。根据这份研究报告统计，全球只有不到一半（46%）的受访者认为公司内部充分了解「网络资安风险」与「网络资安风险管理」的概念，而台湾在这方面的数字表现更低于全球，仅有41%。

全球77%、台湾更有88%的受访者希望企业内部有更多人愿意承担有效管理与防范这些风险的责任，如此将有助于培养「资安从设计阶段就开始」的企业文化。不过有趣的是，全球大多数的受访者（38%）认为执行长最应该负起责任，其次即是公司IT团队（35%）与资安长（28%）；但在台湾，大多数的受访者（38%）则是点名资安长是最应该负起责任的角色，而后才依序为公司IT团队（34%）与执行长（32%）。不论是全球或是地域性的结果，皆点出了企业高阶管理层、IT团队与资安长对公司资安治理的合作与参与，将成为帮助降低企业资安风险的关键焦点。

在这份研究之前，Trend Micro Research还有另外一份研究指出业务经理与IT主管之间对网络资安的认知有很大差距，其问题主要来自于拒绝接受网络资安专家的意见，以及对于谁该负起最终责任有不同的意见。