隨著數位商業興起,企業資訊長必須接受與管理的風險也為之升高。在Gartner針對2,800名資訊長所做的《2015 CIO Agenda》調查,89%的受訪CIO認為數位商業所帶來的風險類型與程度更高,有83%表示對風險管理的反應敏捷度日益重要,也有69%認為企業的風險管理投資與紀律呈現落後狀態。
為協助資訊長做好長期資安與風險管理工作,Gartner開發出一套資安情境,其中兩大觀察重點包括:鎖定的對象,以及由誰掌權。
 |
| ▲Gartner指出,依對象及權力兩個向度為區隔,未來數位資安將會呈現聯合統治、風險獲得管制、由大家長強勢管控、社區守望相助等四種態勢。 |
第一個觀察重點是攻擊鎖定的對象,範圍涵蓋企業或個人。傳統上多半以企業為對象,但現在有愈來愈多攻擊事件以個人為對象,因為他們是比較容易鎖定的目標,這當中包括了員工、顧客與一般民眾。
第二個觀察重點為權力,主要與控制權有關。這裡指的是發動攻擊的權力,也可以是提供保護的權力。範圍則涵蓋單一實體(或政府)與整個群體(集體狀態)。結合這兩個觀察重點,即可得出未來10年企業組織會經歷下列四種資安情境。
情境1:風險獲得管制。此一情境的主要特色是有強勢政府公權力介入,並且以企業為主要的目標。政府會試圖透過法規管制為企業以及政府本身提供安全防護。
情境2:聯合統治。發動攻擊的一方持續以企業為標的,由於法規管制被認為效率不彰,因而不再強調中央集權。我們認為,自主的傭兵式駭客集團會激增,駭客攻擊的情勢亦會升高。
情境3:由大家長強勢管控。針對個人的攻擊事件日增,迫使政府採取行動。資料探勘(Data Mining)被非法用於鎖定潛在受害者,強制保護隱私權的法規將隨之崛起。由大家長強勢管控指的就是由政府介入保護個人,但這可能會分散並限制了企業在這方面的商機。
情境4:社區守望相助。法規的鬆綁顯示政府干預無法對鎖定個人的攻擊帶來太大的影響。數位民兵(E-militias)將針對極端主義的無政府駭客行動提供保護,企業與公民社團型態的利益團體將大為盛行。
我們預測,到了2017年,跨足數位商業的大型企業當中,將有三分之一設有數位風險長(DRO)或類似職務。發展風險管理組織為IT部門提供了傳譯的媒介。這個職務能用非技術語向業務單位解釋各種風險。接下來當業務單位要傳達他們對風險的接受程度,數位風險長也能了解其中意涵,還有企業到底能接受多少風險。
(本文作者現任Gartner副總裁)