數位解決方案除了能提供許多益處,讓組織將變得越來越開放與靈活外,新的風險卻也將隨之興起。安全團隊必須了解新的技術與廠商生態,以決定哪些需要納入安全計畫;而隨著安全威脅的型態持續快速演化,且越來越複雜,安全團隊也必須了解最新的安全隱患。
企業與組織越來越仰賴數位科技,但物聯網(IoT)卻讓安全議題變得更為複雜。如今安全與風險管理主管必須根據數位信賴(Digital Trust)原則,制定彈性的安全計畫。
一直以來,終端使用者被視為安全鏈中最弱的環節,但在數位世界裡,終端使用者卻屬於安全功能及以人為本的解決方案中的一部分。因此,安全與風險管理主管在制定計畫時是建立在信賴的基礎上。Gartner已觀察到,現今已有人擺脫過去在安全方面總是採取默認拒絕(Default-deny)的做法,而改採取默認允許(Default-allow)的原則,這等於從根本改變了安全計畫開發的模式。
至於資安技術層面,使用者與實體設備行為分析(UEBA)具有其重要性,適應性安全架構(Adaptive Security Architecture)也應被了解並加以制度化。另外,人工智慧(AI)技術能根據情境改善安全決策過程;而區塊鏈(Blockchain)技術除改變數位商業外,在安全方面也存在潛在價值,成為一種支援分散式信賴的工具。這些都是安全與風險管理主管該特別注意的技術。
然而,新的技術也會產生新的風險。以人工智慧為例,其產生的智慧財產必須加以保護,如演算法,還有能為組織系統定義正常狀態的系統化知識,駭客的攻擊可能會對組織生產系統帶來災難性影響。人工智慧技術也為更巧妙的破壞形式開啟了另一扇大門,舉例來說,駭客可能只進行微調而不破壞整個系統,由於問題不大可能就完全不會有人注意。
資安長(CISO)的任務是在數位商業環境下進行策略規劃,而機動性與雙模模式則是成功的關鍵所在,除此之外,資安長還必須具備管理物聯網與整合操作技術(OT)的才能。安全團隊也必須跟上潮流且積極主動,他們必須了解新的技術與廠商生態,以決定哪些需要納入安全計畫;而由於安全威脅的型態持續快速演化,且越來越複雜,安全團隊也必須了解最新的安全隱患。
歐盟即將在2018年實行新版隱私與個人資料保護法令,稱為「一般資料保護規則」(General Data Protection Regulation,GDPR),這對風險與法遵長(Risk and Compliance Leader)來說是一大挑戰,因其必須確保組織運作合乎法令。而風險與法遵長還必須推進並轉變法令遵循工作的重點,以便更有效率地管理風險並保護企業組織。風險與法遵長必須確保,組織在投資數位業務計畫時,確實了解與新技術相關的風險及責任歸屬。
儘管面臨的威脅日益嚴重,危害發生的頻率也越來越頻繁,負責營運持續管理(BCM)的主管仍必須維持IT建設與業務營運。他們必須抵禦危害,同時規劃企業該如何克服並將影響降至最低。除了復原力,數位業務系統還要具備彈性;關鍵的基礎架構必須具備足夠的靈活性,才能承受網路攻擊並從大規模災難中復原,甚至達到完全不受干擾的理想狀況。
<本文作者Tom Scholtz為Gartner副總裁及研究員,Amy Forni為Gartner公關經理>