對於企業來說,資安的責任歸屬與重要性為何?
網路資安解決方案廠商趨勢科技研究報告指出,全球企業資安韌性正面臨的前三大問題分別為:
- 缺乏充足的人力來實現全年 365 天、7 天 24 小時的網路資安(僅 36% 做到)。
- 未採用評估攻擊面風險所需的攻擊面管理技巧(僅 35% 採用)。
- 未導入通過考驗的法規和其他框架,如 NIST Cybersecurity Framework(僅 34% 導入)。
絕大多數企業都無法做到上述這些網路資安基本功,其原因也許可歸諸於其最高領導階層無人負責帶領資安事務。半數左右(48%)的受訪者表示其領導階層不認為網路資安是他們的責任,而且僅有 17% 強烈不認同這樣的說法。當被問到誰有責任或應該負責防範業務風險時,受訪者的回答相當分歧,顯示出權責不明確的情況。有將近三分之一(31%)表示最終責任在 IT 團隊身上。
趨勢科技技術總監 Bharat Mistry 表示,網路資安若缺乏明確的領導,將使得企業變得麻木,導致決策趨於被動、零散且紊亂。企業需要資安長(CISO)從業務風險的觀點向董事會明確溝通資安的問題以獲得董事會支持。最理想的狀況是,資安長能透過單一事實來源掌握整個攻擊面的最新狀況以便向董事會報告,同時要持續監控風險並自動矯正問題,以獲得更好的資安韌性。
像這樣網路資安策略方向不明確的情況,或許也解釋了為何超過半數(54%)的全球受訪者都抱怨其企業對資安風險的態度每個月都在改變。
許多企業都無人帶頭來矯正這些問題,幾乎所有(96%)的受訪者都對其攻擊面感到憂心,有超過三分之一(36%)擔心他們應該要有方法可發掘、評估及防範那些高風險的領域,另有五分之一(19%)無法根據單一事實來源來執行他們的工作。
(首圖來源:pixabay)
科技新報粉絲團
加入好友
訂閱免費電子報
