近日全球駭客攻擊事件頻傳,從企業到政府機關到個人,都遭受嚴重損害。到底應如何強化自身的韌性能力與資源?目前國際間數位韌性的趨勢為何?針對這個長期性的關鍵議題,韋萊韜悅特別與英國經濟學人 (Economist Intelligence Unit, EIU) 合作,共同發表全球研究調查報告:「解構企業資安應變力」(Decode resiliency: How boards can lead the cyber-resilient organization)。
本報告對於董事會與C字輩高階主管(c-suite executives)具有策略性的參考價值。本調查針對全球超過450個大型企業,涵蓋製造與科技(分別為12%)、零售與建築業╱房地產(分別為10%)、金融業(9%)。三分之一公司位於北美,三分之一在亞洲,另外三分之一在歐洲。以下為本報告的重點摘要:
最缺乏的韌性能力
在十大資安能力自評項目中,受訪企業認為優於平均的前三大能力為:評估與量化風險(23%)、資安技術與治理之整合(21%)、評估資安風險文化(19%);反之,受訪企業自認最缺乏的三大能力為:從資安事件中學到教訓(13%)、填補資安人才短缺(14%),以及培養職場的資安能力(15%)。
針對以上不足的能力,資安人才荒為當今產官學正視的議題,在此不多贅述。但後兩者可能和我們的文化與慣性有關,在此延伸該報告呼應的重大問題。
學習教訓並不容易
為何從資安事件中學到教訓如此困難?
首先,是面對資安風險的心態。我們通常聽到客戶「不會在我家」的反應,例如:有這個(駭客)風險,但機率不大?我們公司門禁森嚴,還要作資安?甚至有客戶直接了當的說,要不要先(駭客)攻擊我們的系統,等到系統癱瘓之後再向老闆爭取經費?
這種心態將阻絕學習他人經驗。資安風險已成為產業「新常態」(New Normal)。過去被視為罕見的極端意外,可能隨時發生在你我的身旁。然而,資安事件涉及企業股價與品牌形象,涉及敏感、尷尬或困惑的機密,外界很難從新聞報導中獲得真正的學習。
加上在我們的職場中,內部事件大多以「大事化小、小事化無」收場。我們甚至聽到客戶希望資安事件由廠商「免費」處理,以避免費用申請後被資訊長知情。所以,高階主管被蒙在鼓裡也就不足為奇。其實,國外重大事件引發負面的連鎖效應,導致股票停止交易、長達半年以上復原、海外分店關門大吉,甚至總經理下台。這些都不是我們樂見的,所以要適時讓主管瞭解公司資安現況與體質。
韌性提升IT新思維
從本報告的資安政策項目中,受訪者採用優先三大政策為:持續性資安認知訓練(44%)、確認資訊科技╱資訊安全人才短缺(44%)、企業營運持續計畫(BCP)(40%);受訪者採用最後三項政策為:行為獎勵(30%)、資安事件後變革管理(32%)與資安事件後職能規劃(37%)。尤其是後三者為人力資源部門常用的管理政策。在實務上,本報告鼓勵資訊與人力資源部門攜手合作,以彌補現有資安政策推動上的不足。
此外,風險管理思維(如BCP)必須融入公司資安政策一部分。以我們客戶為例,資訊人員很清楚,在成本的考量之下,全公司老舊系統(Legacy)很難全面更換。他們開始研究資安保險,作為風險移轉的主要工具。不只從技術導入,國際保險實務更是從資安政策、風險評估到營運中斷,以便整體瞭解企業的資安風險。
本報告結論可能超過現有資訊人或主管的思維框架。在國內的企業環境中,資安普遍被視為資訊部門的事。2014年Gartner報告探討資安典範移轉的重要性,甚至大膽提出「預防無用論」。從過去掃毒到現在「防駭」,資安的焦點從防堵預防到動態整合。在過去「資安1.0」時代,資安人以IT防禦為主;然而,在當今「資安2.0」時代,資安人須跟上國際韌性管理的腳步,尤其是風險管理思維為其主流。面對新型態駭客攻擊的挑戰,業界需從人才、財務與技術領域跨界整合,提升自身體質。