新思維的數位資安

文 / 劉虹君

數位轉型浪潮下  企業資安治理更應具體實踐

資安的策略是企業需要不斷調整和創新來因應趨勢，沒有絕對的防堵，只有全面跟進和作戰。

沒有一○○％的Security，即使堅強的企業防線也不可能保證百分百的安全，駭客與惡意程式的手法與時俱進，如果企業對資訊安全的措施，採購資安產品只是圖一時的安慰心態，這便是被入侵的起點，防線潰堤遲早而已。企業必須盡一切可能強化自身的資安體質(Cyber Resilience)，超前規劃與部署，為資安防線被突破預先做好準備，資安戰對於企業是場無休止的大硬仗。

應從防禦威脅轉為風險管理

現今的駭客皆企業化，資安策略蔚然形成團體組織作戰。企業需要更積極的採取有效措施來因應，從資訊安全管理到資訊安全政策，再到資訊安全風險管理架構，一一審慎評估、規劃、建置與執行。

再次重申資訊安全新思維應從防禦威脅轉為風險管理。因應商業環境競爭的快速變化，各企業紛紛擁抱雲端服務、建立DevOps開發團隊、IT與OT整合或應用5G等最新技術來實現數位轉型。在新科技時代下的榮景，駭客同樣的緊跟隨著擴大攻擊範疇並開展出多樣化的地下犯罪商業模式，當企業汲汲在數位轉型後的技術與服務獲取競爭力的同時，伴隨而來的是更難以預測的資安攻擊風險。

有相關報導指出，全球近三分之一（三十一％）的企業決策者認為資訊安全是當今經營環境中最大的商業風險，有六成（六十三％）認為企業須要承擔風險才能獲得且保持競爭優勢，由此可看出資訊安全對於企業營運的重要性。

我們需要擔心的是，在台灣的大環境，企業高層對資安的危機意識需再加強。目前僅僅半數的IT決策者認為公司的高階管理層充分了解資訊安全風險，更有高達八成的IT決策者表示對於是否與董事會重申應正視企業資安風險倍感壓力。這其中所存在諾大的鴻溝，很容易成為被駭客利用滲透的資安破口，使得企業資安治理陷入無法落實的困境。

資安需跟上數位轉型的腳步

疫情大幅加速了企業數位轉型的進程，此一改變如同兩面刃，帶來了潛在商機與加速產品交付，卻也同時擴大了網路犯罪分子的攻擊面。隨著加倍複雜的資安管理議題伴隨著轉型而來，企業決策者需要持續思考資安於企業營運中扮演的角色。

未來，企業將面臨嚴重的資安風險可視性不足、以及數據穀倉等問題，造成資安人力負荷過重，無法即時判斷並回應威脅，使企業暴露於營運風險之中，生產力也大受影響。要解決這樣的問題，企業必須從根本上進行改變，讓資安轉型跟上數位轉型的腳步，借重可獲取全面資訊情報的資安防護部署，協助組織進行高效率並且能夠執行的決策。

數位轉型浪潮下，零信任的企業資安治理更應具體實踐，數位轉型使得企業內外部網路邊界消弭，讓惡意威脅有了更多可乘之機。當企業普遍上雲端，威脅情勢的演變更是難測，防禦策略也必須有別於以往，無論從基層開發人員到企業領導者，都必須徹底翻轉原有的資安思維，在零信任（Zero Trust）已經為企業必要的資安策略之下，資安長（CISO）首先要能有效降低資安管理的複雜性，掌握內部資安風險可視性，並透過不間斷的威脅調查和風險評估來提升威脅防禦的可見度，才能有效落實企業資安治理，協助提升營運績效與強化未來營運藍圖。