企业高层、IT与网安人员的合作能有效降低网安风险

面对日趋严峻的网安环境，金管会修法要求千家上市柜公司2022年底前增设网安长并成立网安专责团队，更明定公司应在公开说明书及年报上详细揭露网安风险对财业务的影响与因应措施。企业内部网安治理整合，将成为未来降低网安甚至商业风险的重要关键。全球云端网安领导厂商趋势科技日前发布一份新的研究报告注一指出目前企业内部 IT团队与高端管理层的参与度不足可能危及企业在网络网安上的投资，使得企业暴露更高的网安风险。在受访的IT 及业务决策者当中有超过 90% 表示对于勒索病毒的攻击特别感到忧心。

尽管企业对于日益升高的威胁感到忧心，这份研究却发现，仅约半数 (57%) 的 IT 团队会至少每星期一次和高端管理层开会讨论网络网安的风险。

趋势科技CEO陈怡桦表示：「以往，漏洞在被发现之后大约需经过好几个月、甚至数年之后才会出现相关的攻击手法。但现在却只需数小时、甚至更短的时间。尽管有愈来愈多高端经理意识到他们有责任了解企业的网安状况，但却经常跟不上网络网安情势的快速演变。企业IT领导人必须设法与董事会沟通，以他们可以理解的方式让他们知道企业正面临哪些风险，以及如何以最有效的方式管理风险。」

所幸，企业目前在网络网安方面的投资并不低，将近半数(42%)的受访者表示公司花费最多预算在防范「网络攻击」以降低企业风险，甚至高于一些常见的企业专案如：数码转型(36%)和人员转型(27%)。除此之外，有将近一半(49%)的受访者表示公司最近曾经增加投资来降低勒索病毒攻击与网安事件发生的风险。

然而，在投资增加但高端管理层仍对网安管理参与度不足的情况下，间接意味着企业只是抱着「花钱消灾」的心态，并非先了解网络网安的挑战，再来采取适当的投资。这样的作法反而让企业无法采用一些更有效的策略，甚至可能面临更大的财务损失风险。根据这份研究报告统计，全球只有不到一半(46%)的受访者认为公司内部充分了解「网络网安风险」与「网络网安风险管理」的概念，而台湾在这方面的数字表现更低于全球，仅有41%。

全球77%、台湾更有88%的受访者希望企业内部有更多人愿意承担有效管理与防范这些风险的责任，如此将有助于培养「网安从设计阶段就开始」的企业文化。不过有趣的是，全球大多数的受访者(38%)认为CEO最应该负起责任，其次即是公司IT团队(35%)与网安长(28%)；但在台湾，大多数的受访者(38%)则是点名网安长是最应该负起责任的角色，而后才依序为公司IT团队(34%)与CEO (32%)。不论是全球或是地域性的结果，皆点出了企业高端管理层、IT团队与网安长对公司网安治理的合作与参与，将成为帮助降低企业网安风险的关键焦点。

如欲阅读完整报告，请至此网站。