资安业者趋势科技今日表示,目前企业内部 IT 团队与高阶管理层的参与度不足可能危及企业在网络资安上的投资,使得企业暴露更高的资安风险;在受访的 IT 及业务决策者当中有超过 90% 表示对于勒索病毒的攻击特别感到忧心。也因此,未来企业内部资安治理整合,将成为未来降低资安甚至商业风险的重要关键。
报告指出,尽管企业对于日益升高的威胁感到忧心,这份研究却发现,却只有约半数(57%)的 IT 团队会至少每星期一次和高阶管理层开会讨论网络资安的风险。
趋势科技首席执行官陈怡桦表示,以往漏洞在被发现之后大约需经过好几个月、甚至数年之后才会出现相关的攻击手法。但现在却只需数小时、甚至更短的时间。尽管有越来越多高阶经理意识到他们有责任了解企业的资安状况,但却经常跟不上网络资安情势的快速演变。企业 IT 领导人必须设法与董事会沟通,以他们可以理解的方式让他们知道企业正面临哪些风险,以及如何以最有效的方式管理风险。
所幸,企业目前在网络资安方面的投资并不低。报告显示有将近半数(42%)的受访者表示公司花费最多预算在防范“网络攻击”以降低企业风险,甚至高于一些常见的企业专案如数位转型(36%)和人员转型(27%)。除此之外,有将近一半(49%)的受访者表示公司最近曾经增加投资来降低勒索病毒攻击与资安事件发生的风险。
然而,在投资增加但高阶管理层仍对资安管理参与度不足的情况下,间接意味着企业只是抱着“花钱消灾”的心态,并非先了解网络资安的挑战,再来采取适当的投资。
趋势科技表示,这样的做法反而让企业无法采用一些更有效的策略,甚至可能面临更大的财务损失风险。根据这份研究报告统计,全球只有不到一半(46%) 的受访者认为公司内部充分了解“网络资安风险”与“网络资安风险管理”的概念,而台湾在这方面的数字表现更低于全球,仅有 41%。
因此,全球 77%、台湾更有 88% 受访者希望企业内部有更多人愿意承担有效管理与防范这些风险的责任,如此将有助于培养“资安从设计阶段就开始”的企业文化。总之,不论是全球或是地域性的结果,皆点出了企业高阶管理层、IT 团队与资安长对公司资安治理的合作与参与,将成为帮助降低企业资安风险的关键焦点。
(首图来源:趋势科技)
