趨勢科技指出,全球有 90%、台灣為94% 受訪的 IT 決策者表示企業為了其他目標對資訊安全妥協,未正視資安威脅帶來的商業風險。(業者提供)
〔記者張慧雯/台北報導〕台灣IT決策者難為!趨勢科技發布最新全球資安風險調查報告 (Psychology of Risk Report, Trend Micro Global Research Campaign)指出,全球有 90%、台灣為94%受訪的IT決策者表企業願意為了達成創新、數位轉型、提升生產力或其他目標而對資安妥協;此外,台灣有高達89%的IT決策者表示,對於是否與董事會重申應正視企業資安風險倍感壓力,高於全球的82%。
研究報告指出,全球僅50%的IT領導人和38%的業務決策者認為公司高階管理層(C-suite)應充分了解資訊安全風險,其中有些受訪者認為主要的原因是因資安議題複雜且變化多端,卻也有很多人認為是公司高層未特別試著了解(26%)或甚至不想了解(20%)所導致。
此外,值得注意的是,IT領導人和業務領導人對於誰該負起最終的風險管理與防範責任有不同看法,IT領導人指向IT團隊和資安長(CISO)的比例幾乎為業務領導人兩倍,49%的受訪者認為資安風險仍是一項IT問題,而非商業風險。
而這樣的認知差異造成嚴重的潛在問題,52%的受訪者覺得企業對於網路資安風險的態度前後不一、每個月都在變;但目前全球31%的企業決策者認為資訊安全是今日經營環境中最大的商業風險,並有66%認為這是所有商業風險中成本衝擊最大的項目,然而,這樣的看法似乎又與企業實際上在資安有妥協空間的態度相矛盾。
趨勢科技英國技術總監 Bharat Mistry指出,IT領導人在董事會面前都會小心斟酌、避免過度繁冗或負面的發言,而且幾乎有三分之一的受訪者認為自己無時無刻都感受到這股壓力。然而,這只會讓高層領導人持續忽視此風險而讓情況繼續惡化,因此,必須透過新的方式來談論風險,讓資安成為驅動企業成長的基本動力,讓IT和企業領導人能彼此合作。
Nuffield Health 的資訊安全與認證負責人Phil Gough表示,IT決策者向董事會報告資安風險狀況時,不能刻意淡化資安風險的嚴重性,或許可以調整用字遣詞,讓雙方更了解彼此並傳達正確的資訊;他也說,這是商業資安策略溝通的第一步,也是最重要的一步,利用商業術語來闡述資安風險可以成功獲取高階管理層的關注,同時幫助他們認識到資訊安全是驅動商業發展的動能,而非企業創新的絆腳石。