全球六成企業 對資訊外泄風險不夠了解

值得注意的是,56%企業預期,透過其軟體供應商的違規行爲會增加,但只有34%企業正式評估風險,同時,58%企業預期其雲端服務受到的攻擊將大幅增加,但只有37%企業真正評估瞭解雲端風險。

近期全球爆發多起資安事件,例如某通訊軟體與國內餐飲品牌客戶個資外泄;虛擬貨幣交易平臺遭駭客攻擊損失約1.5億美金資產;知名家電大廠遭駭客存取機敏資料等。

在數位時代,資訊安全與資料治理成爲企業必須面對的重點。無論是元宇宙概念熱議、萬物智慧聯網、企業數位轉型、智慧城市發展、或是資料雲端化,企業及政府機關應時時刻刻注意自己是否暴露在資安風險中。大至內部系統、生產線,小至智慧燈泡都有可能成爲駭客目標,鑽尋漏洞,進而取得機構內機敏資料。

甚至,企業爲求快或拒絕改變,經常忽略幾個資安漏洞,例如:運用過多不相容的數位解決方案、不依據第三方風險管理整合不同屬性的工作、不設計或不堅持資料治理流程、不運用商業語言談論資訊安全等。

資誠聯合會計師事務所暨聯盟事業副執行長劉鏡清表示,受訪的全球企業中,資安佈局進步最快的前10%企業皆落實建立4Ps(Principle People Prioritisation Perception) ,建議企業或政府從4Ps出發,審視並簡化非必要流程,加強內部資訊安全措施,保護機敏資料,提升資安戰鬥力。

企業或政府必須清楚制定其在資訊安全、隱私保護上的基礎原則。缺乏資訊安全風險地圖的規劃是企業或組織最常犯的第一個錯誤,資訊安全與資料治理未能整合爲第二個錯誤,資訊安全由資訊部門負責是第三個錯誤。

在數位時代資訊與資料安全不只是企業內部的事情,更是贏得客戶與市場信任的重要基礎,所以企業或組織應制定原則、風險地圖、避免三大錯誤。企業或組織應任命並信任首席資訊安全長(CISO),提升資安層級與資安涵蓋範圍,因爲資訊與資料安全是遍及所有部門,從門店、辦公室到工廠都遍佈了潛在資訊及資料安全的風險,例如採購與資安。

金管會於今年11月再修法,要求千家上市櫃公司必須配置資訊安全長(CISO)、資安專責單位或資安專責人員,完成期限視等級分爲2022年底或2023年底。企業須注意,資安團隊除了時時更新資安知識與解決方案之外,與組織內部溝通宣導之流暢度更是重點,如此才能真正理解組織資安需求或弱點。此外,重資安忽略資料治理的資料安全規劃,是企業常犯的第四種錯誤,企業應特別注意。

資安團隊無論是委外或自行維運,CISO與資安團隊需瞭解組織所需,簡化不必要流程,建立資訊安全結構。例如企業或政府機關在面對雲端服務資料轉移等作業,也建議安排CISO和資安團隊加入共同規劃,在專案初期即簡化非必要流程,提升整體資料安全,同時協助其他團隊熟悉企業資安規劃,落實資安原則。

企業或政府對數位的運用野心越來越大,擁有的資訊資產越多,風險也會隨之改變,企業必須視資安與資料治理爲重點優先任務。近期實例如知名家電大廠於11月發現網路流量異常,隨後對外宣佈機敏資料遭駭客存取;實際上攻擊者於6月便開始存取家電大廠內部資料,於5個月間多次攻擊活動,若該廠提早建立資料治理制度並善用智慧科技衡量做好管理風險,亦能在網路流量稍有異常時即能處置,降低傷害。

資誠建議,CISO必須建立好的數位信任基礎,包含整體組織的資料治理;同時,也需建立一個風險地圖找出優先重點,從計算資安風險數量到實時風險回報進行規劃;最後將資安風險結合企業風險,統整兩者對企業的影響,找出商業模式當中需保留和可簡化的部分。

企業或政府必須找出內外部關係與供應鏈中的盲點,將整體系統、供應鏈和關鍵商業關係列出,找出簡化商業關係和供應鏈的對策。例如近期某通訊軟體資料外泄事件中,該事件起因於合作廠商誤將使用者機敏檔案上傳至開放平臺,導致個資在平臺供所有平臺用戶下載,目前雖無相關通報事件,惟有心人士下載個資檔案,可能嚴重傷害使用者,導致使用者對該軟體的信任度下滑,甚至棄用。

資誠建議,組織可以創立「第三方資安風險辦公室」,全責控管第三方資安風險,強化企業數位信任流程,控管第三方資料的運用,降低外部廠商人員誤傳資料的機率。政府機關也可成立「智慧城市公民信任中心」,與外部民衆溝通並接收反饋,建立與市民之間的數位信任。

4Ps策略看似簡單,但在受訪的企業中,只有10%成功實踐;目前企業難免因數位連結的增加,構成日益複雜的網絡,但有充分的證據表明簡化流程是必須且值得的,在本調查中「進步最快」(在資安排名前10%)的企業,在整個企業進行流程簡化的可能性是其他企業的五倍。且在過去兩年,這10%企業在重大資安目標,例如培養網路安全文化、管理網路風險、加強董事會和管理層之間的溝通、以及協調網路與業務策略,其取得進程的可能性是其他組織的兩倍。

此外,企業高階主管和CEO受訪者對於CEO在資安方面提供的支持程度存在認知上的差異,CEO認爲自己在資安的參與、支持和完成目標程度比其團隊的認知高,不過,企業高階主管和 CEO受訪者都同意,CEO積極參與制定和實現資安目標,的確會產生正面的影響。

排名前10%的組織中的高階主管在網路安全方面獲得CEO大力支持的可能性比其他組織高出12倍,大多數高階主管認爲,應對CEO和董事會進行教育,使他們能夠更履行資安職責。資誠建議管理層可以透過4Ps幫助組織,培養資安與資料治理的新習慣,創造數位安全信任的企業或組織。