企業應善用整合式攻擊面風險管理(ASRM)平台以消弭內部溝通落差
全球網路資安領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今天公布一項研究註一指出,台灣受訪企業有高達 96% 的網路資安領導人在董事會的壓力影響下而不敢直接點出其企業所面臨的資安風險。
趨勢科技技術總監 Bharat Mistry 表示:「有超過半數的全球資安領導人表示,資安是企業最大的商業風險,但卻無法用董事會成員能夠理解的語言來溝通這項風險,結果就是遭到忽略、貶低,甚至被視為嘮叨。除非資安領導人有辦法與高階管理層更有效溝通,否則企業的資安韌性將受到影響。而解決這個問題的第一步就是取得整體攻擊面的單一事實來源。」
其中在所有承受董事會壓力的台灣企業資安領導人當中,有 52% 擔心他們提供錯誤的建議,有 46% 表示被認為太過負面,有 39% 表示被董事會視為重複碎念或嘮叨,另有近三分之一 (29%) 表示他們直接遭到否定而沒有機會更進一步做說明。
這點出了一個嚴重的信任危機,解釋了為何資安領導人無法讓資安風險與商業風險有更直接的連結。而如果能做到明確量化網路資安策略的價值時,他們認為所能得到的幫助包含被授予更多責任 (62%)、受到更多肯定 (59%)、資安管理被視為更有價值的職務 (52%)、獲得更多預算 (52%),及被納入高層決策圈 (49%)。
不過,目前 IT 與業務領導人之間仍存在著一道溝通障礙。全球僅有半數 (54%) 的受訪者相信他們的高階領導層完全了解其企業所面臨的資安風險,台灣更僅有三成多 (37%) 的受訪者相信。全球有超過三分之一 (34%) 的受訪者表示網路資安依然被視為一種 IT 風險而非商業風險,此外,有 80% 的受訪者相信唯有發生嚴重的資安事件才會讓董事會採取更果決的行動來對抗資安風險。
異質的網路資安環境或許也讓挑戰更加嚴峻,然而,專為攻擊面各領域設計的單一面向產品只能呈現各種不連貫的資料數據,將使得資安領導人更難清楚呈現資安風險的全貌讓董事會理解。
台灣有近八成 (79%) 的受訪者認為他們有必要提升自己的 IT 溝通技巧來矯正這個情況。趨勢科技建議企業應善用一套整合式「攻擊面風險管理」(ASRM) 平台,可透過一個高階主管儀表板來呈現一致又具說服力的資安風險洞見,不僅幫助解決資安領導人對內溝通的問題,更能為企業節省大筆經費。
註一:趨勢科技2024 global risk survey於全球共訪問2600家企業, 台灣共100家中大型企業受訪
