全球六成企业 对资讯外泄风险不够了解
值得注意的是,56%企业预期,透过其软体供应商的违规行为会增加,但只有34%企业正式评估风险,同时,58%企业预期其云端服务受到的攻击将大幅增加,但只有37%企业真正评估了解云端风险。
近期全球爆发多起资安事件,例如某通讯软体与国内餐饮品牌客户个资外泄;虚拟货币交易平台遭骇客攻击损失约1.5亿美金资产;知名家电大厂遭骇客存取机敏资料等。
在数位时代,资讯安全与资料治理成为企业必须面对的重点。无论是元宇宙概念热议、万物智慧联网、企业数位转型、智慧城市发展、或是资料云端化,企业及政府机关应时时刻刻注意自己是否暴露在资安风险中。大至内部系统、生产线,小至智慧灯泡都有可能成为骇客目标,钻寻漏洞,进而取得机构内机敏资料。
甚至,企业为求快或拒绝改变,经常忽略几个资安漏洞,例如:运用过多不相容的数位解决方案、不依据第三方风险管理整合不同属性的工作、不设计或不坚持资料治理流程、不运用商业语言谈论资讯安全等。
资诚联合会计师事务所暨联盟事业副执行长刘镜清表示,受访的全球企业中,资安布局进步最快的前10%企业皆落实建立4Ps(Principle People Prioritisation Perception) ,建议企业或政府从4Ps出发,审视并简化非必要流程,加强内部资讯安全措施,保护机敏资料,提升资安战斗力。
企业或政府必须清楚制定其在资讯安全、隐私保护上的基础原则。缺乏资讯安全风险地图的规划是企业或组织最常犯的第一个错误,资讯安全与资料治理未能整合为第二个错误,资讯安全由资讯部门负责是第三个错误。
在数位时代资讯与资料安全不只是企业内部的事情,更是赢得客户与市场信任的重要基础,所以企业或组织应制定原则、风险地图、避免三大错误。企业或组织应任命并信任首席资讯安全长(CISO),提升资安层级与资安涵盖范围,因为资讯与资料安全是遍及所有部门,从门店、办公室到工厂都遍布了潜在资讯及资料安全的风险,例如采购与资安。
金管会于今年11月再修法,要求千家上市柜公司必须配置资讯安全长(CISO)、资安专责单位或资安专责人员,完成期限视等级分为2022年底或2023年底。企业须注意,资安团队除了时时更新资安知识与解决方案之外,与组织内部沟通宣导之流畅度更是重点,如此才能真正理解组织资安需求或弱点。此外,重资安忽略资料治理的资料安全规划,是企业常犯的第四种错误,企业应特别注意。
资安团队无论是委外或自行维运,CISO与资安团队需了解组织所需,简化不必要流程,建立资讯安全结构。例如企业或政府机关在面对云端服务资料转移等作业,也建议安排CISO和资安团队加入共同规划,在专案初期即简化非必要流程,提升整体资料安全,同时协助其他团队熟悉企业资安规划,落实资安原则。
企业或政府对数位的运用野心越来越大,拥有的资讯资产越多,风险也会随之改变,企业必须视资安与资料治理为重点优先任务。近期实例如知名家电大厂于11月发现网路流量异常,随后对外宣布机敏资料遭骇客存取;实际上攻击者于6月便开始存取家电大厂内部资料,于5个月间多次攻击活动,若该厂提早建立资料治理制度并善用智慧科技衡量做好管理风险,亦能在网路流量稍有异常时即能处置,降低伤害。
资诚建议,CISO必须建立好的数位信任基础,包含整体组织的资料治理;同时,也需建立一个风险地图找出优先重点,从计算资安风险数量到实时风险回报进行规划;最后将资安风险结合企业风险,统整两者对企业的影响,找出商业模式当中需保留和可简化的部分。
企业或政府必须找出内外部关系与供应链中的盲点,将整体系统、供应链和关键商业关系列出,找出简化商业关系和供应链的对策。例如近期某通讯软体资料外泄事件中,该事件起因于合作厂商误将使用者机敏档案上传至开放平台,导致个资在平台供所有平台用户下载,目前虽无相关通报事件,惟有心人士下载个资档案,可能严重伤害使用者,导致使用者对该软体的信任度下滑,甚至弃用。
资诚建议,组织可以创立「第三方资安风险办公室」,全责控管第三方资安风险,强化企业数位信任流程,控管第三方资料的运用,降低外部厂商人员误传资料的机率。政府机关也可成立「智慧城市公民信任中心」,与外部民众沟通并接收反馈,建立与市民之间的数位信任。
4Ps策略看似简单,但在受访的企业中,只有10%成功实践;目前企业难免因数位连结的增加,构成日益复杂的网络,但有充分的证据表明简化流程是必须且值得的,在本调查中「进步最快」(在资安排名前10%)的企业,在整个企业进行流程简化的可能性是其他企业的五倍。且在过去两年,这10%企业在重大资安目标,例如培养网路安全文化、管理网路风险、加强董事会和管理层之间的沟通、以及协调网路与业务策略,其取得进程的可能性是其他组织的两倍。
此外,企业高阶主管和CEO受访者对于CEO在资安方面提供的支持程度存在认知上的差异,CEO认为自己在资安的参与、支持和完成目标程度比其团队的认知高,不过,企业高阶主管和 CEO受访者都同意,CEO积极参与制定和实现资安目标,的确会产生正面的影响。
排名前10%的组织中的高阶主管在网路安全方面获得CEO大力支持的可能性比其他组织高出12倍,大多数高阶主管认为,应对CEO和董事会进行教育,使他们能够更履行资安职责。资诚建议管理层可以透过4Ps帮助组织,培养资安与资料治理的新习惯,创造数位安全信任的企业或组织。