數位轉型之路必然伴隨著網路安全的挑戰,根據Gartner預測,由於安全團隊無法控制網路風險,會有60%的數位企業遭受服務中斷的重大事故。這些問題的發生,部份的原因在於:公司董事會和高階主管通常沒有把安全議題以重大的企業問題看待。
許多企業正走向數位轉型之路,他們不斷地尋找新的商機,提高營運效率,並為客戶提供更好的服務。然而,數位轉型之路必然伴隨著網路安全的挑戰,根據Gartner預測,由於安全團隊無法控制網路風險,會有60%的數位企業遭受服務中斷的重大事故。這些問題的發生,部份的原因在於:公司董事會和高階主管通常沒有把安全議題當成重大的企業問題看待。
最近Fortinet年度的全球企業安全調查訪問了超過1,800名的IT決策者,結果發現有一半的受訪者認為安全仍然不被董事會視為首要工作。此外,他們都堅決認為網路安全應該是最優先處理的管理議題。77%的受訪者認為董事會應花更多的時間來審視資安的議題。
人們也許會認為,最近的一些重大安全事件,可能會讓董事會大幅關注網路安全的議題。然而,調查顯示威脅攻擊發生時,董事會成員通常只是參與了更多的事後管理,而非規範更多的預防措施,或將其視為重要戰略議題。例如,77%的董事會會要求知道安全事件的來龍去脈,67%則會重新審查或增加資安預算。顯然,安全主管要讓董事會將網路安全視為重要的戰略議題這件事上,還有很多工作要做。
為何網路安全應成為董事會的優先事項?首先,安全漏洞與全球性攻擊頻繁。許多企業組織在過去兩年都遭遇某種類型的安全漏洞或攻擊。49%的受訪者表示,在WannaCry等全球性的威脅攻擊發生之後,他們已將重心放在安全防護上,並關注其對品牌聲譽與企業營運的影響。這些都使得安全問題成為董事會層級優先處理的事項,而不僅僅是IT運作的維護。
其次,受攻擊面不斷增加。由於企業大量採行雲端服務,加上物聯網和大數據的興起,大大地增加了駭客可能攻擊的面向與複雜度。74%的受訪者表示,企業愈來愈重視雲端安全;半數人則表示,他們在未來12個月會投資雲端安全。除此之外,物聯網也是受攻擊面逐漸擴大的主因,專家預測,到了2020年,將有超過25%的攻擊是針對物聯網設備。
再者,許多新的政府和產業法規都增加了對安全的規範。2018年即將生效的歐盟一般資料保護法(General Data Protection Regulation,GDPR)就是很好的例子。
這些趨勢正促使網路安全逐漸被視為一個戰略問題,而不僅僅是簡單的IT投資。企業要在數位轉型獲得成功,IT安全主管必須重新思考網路安全的方法,以清楚掌握受攻擊面的範圍,縮短威脅檢測和安全因應兩者之間的時間差,同時提供強大的性能,以及自動化的安全威脅情資與管理功能。
<本文作者:劉乙,Fortinet台灣區技術總監。>