現代人的生活越來越離不開網路,企業營運也早已進入「超連結(hyper-connected)」時代,資安的角色也不能再僅只於是因應可能的資安事件,或保護企業免於遭受安全攻擊;更重要的是,透過全面性與智慧型的監控,能提早發現可能的問題、提昇改造企業的商業流程,協助企業進行整體能力的升級。
一提到資訊安全,多數企業高層主管臉上浮現的可能不是自信的微笑,而是難掩的緊繃與擔憂。各樣的網路攻擊、資料外洩,以及法規遵循帶來的營運風險,難免讓企業高層主管在面對資訊安全問題時,充滿煩惱。
這種視資安為麻煩問題的想法並不奇怪,事實上,任何對營收無直接助益、又得花錢增加成本的項目,在企業裡很難受到歡迎;也因此,不少主管因應資安問題時,往往「眼不見為淨」,僅追求最低標準的防護,並在遇到問題時,才針對個別問題作出反應,或者,盡力以「保護」的出發點進行資安相關投資,而不把資安投資當作企業策略性發展、同業間差異化競爭的一環。
不到三成企業具備高資安成熟度
IBM近日發表的跨國調查,正好反映出此現狀。這項針對全球7個國家、共138位來自千名員工以上的中、大型企業資訊部門或專業資訊安全主管的調查,要求受訪者依企業內資安部門的組織成熟度、因應資料外洩事件的準備程度兩個面向進行自評,兩項分數皆高者,便是能在企業內發揮影響力的「影響者」(Influencers);居中者,則為提供企業安全防護的「保護者」(Protectors),若兩項分數皆低者,則是「反應者」(Responders)。
儘管接受調查的都是員工人數在千人以上的中大型企業,理應在資源豐富度、專業能力上有不錯的表現,但卻僅有25%的受訪企業,自評為「影響者」。換言之,高達四分之三的企業內部資安部門,其角色都受到限制,僅扮演因應資安事件、提供防護的角色,未能在企業內部提供策略性貢獻。
由於接受調查的7國中,有5個為IT投資與隱私法規相對成熟的已開發國家(美、英、德、法、日),若對照台灣IT投資佔企業營收比重遠較上述國家低的狀況,台灣企業達到「影響者」層級的資訊安全成熟度,可能遠低於25%這個水準。
現代人的生活越來越離不開網路,企業營運也早已進入「超連結(hyper-connected)」時代,不論員工、上下游產業生態系、乃至面對一般大眾的網站與社交網路溝通管道之間,都透過網路緊緊相連,即便在傳統或封閉的產業類型,也總還會有環節得透過網路進行溝通、協作。這讓資訊安全的重要性也跟著增加,資安的角色也不能再僅只於是因應可能的資安事件,或保護企業免於遭受安全攻擊;更重要的是,透過全面性與智慧型的監控,能提早發現可能的問題、提昇改造企業的商業流程,協助企業進行整體能力的升級。
自我評量 擬定未來發展規劃
從同份調查中也發現,資安成熟度較低的受訪企業,普遍都缺乏既定負責資安的內部組織/職務,也多半沒有穩定的資安預算。
儘管擁有資安長或固定的預算未必就是資安成熟度高的絕對因素,但從企業營運的角度看,願意在此投資的企業,往往會從更高層次,如營運流程、營運策略的角度來看待資訊安全。
 |
| ▲資安領導力示意圖。 |
傳統上,資安部門僅被當作資訊部門中的一部分,重要性可能比掌管關鍵企業應用,如企業資源規劃(ERP)軟體的小組還低。但若從策略性觀點來看,不難發現,資訊安全的成熟度,其實牽涉到企業的營運結果(Sony資料外洩事件被評估可能帶來高達10億美元的長期損失)、品牌形象、供應鏈關係、法律問題、稽核風險,甚至還可能因為樹大招風而成為駭客團體的鎖定對象。
 |
| ▲ 安全成熟度模型。 |
這些可能因資安成熟度不足而招致的負面結果,一旦真的發生,絕對不是資安/資訊部門所能夠解決,可能得出動執行長,甚至是董事會的層級來因應才行。