BSI提供
隨著資安邊界持續改變,所有的組織都必須轉型成為具備「韌性」的組織。在經歷疫情的衝擊,BSI東北亞區總經理蒲樹盛指出,2021年的詐騙簡訊超過56億筆,平均每個人三天之內就會接到兩通簡訊;而2022年則發現,全國詐騙案件數量大幅攀升,若以排名前三名的全國詐騙案件來看,分別是假網拍詐5,626件,投資詐騙4,891件,以及各類解除分期詐騙的ATM與網銀騙匯4,281件,最特別的是投資詐騙,造成全臺民眾財損高達20億6,484萬元,財損金額更是歷史新高。
詐騙橫行也意味著「信任」成為稀有財,蒲樹盛表示,數位信任是臺灣社會面對的最大挑戰,而數位信任若能結合ESG,就可以打造組織的韌性,「這不只是企業轉型面臨的壓力,也可以是巨大的商機。」他說。
打造具備數位信任的環境
若以世界經濟論壇(WEF)總結的全球風險報告來看,未來最可能發生的風險除了極端天氣、氣候行動失敗、人為導致的環境破壞、生物多樣性消失外,還包括數位力量集中、數位不平等、網路安全失效,以及科技治理失敗;未來影響最大的風險則包括:傳染病、氣候行動失敗、其他環境風險、大規模殺傷性武器、生計危機、債務危機,以及IT基礎架構崩潰。
蒲樹盛認為,不管是DDoS(分散式阻斷式攻擊)或是APT攻擊等網路威脅,最終都會牽涉到IT基礎架構的穩定性,倘若面臨關鍵基礎設施服務中斷的風險,甚至可能是戰爭爆發的緣起,例如俄羅斯在冬天入侵烏克蘭的天然氣系統。這時候,大者恆大的數位強權往往具備相對的優勢。
政府為了提高組織的韌性,也著手形塑臺灣企業環境的數位信任,蒲樹盛援引金管會推動的《金融資安行動方案》為例,其中包含四大工作項目及十三個工作小項目,顯見政府已經積極藉由推動產業資安,進一步達到形塑企業的數位信任。
首先,在資安制度的項目上,最重要的措施包括:形塑金融機構重視資安的組織文化;完備資安規範;強化資安監理職能;以及加强金融資安檢查。蒲樹盛認為,這可以參考ISO 27001等相關的國際標準,作為產業推動資安及打造數位信任的基礎。
其次,深化資安治理的工作項目上,主要是希望做到加强資安管理、強化資安監控,以及加强資安人才培育,這是提升企業領導力;第三,在精實資安韌性的工作項目上,最重要的是,增進營運持續管理量能、加强資安攻防演練、建構資料保全避風港(可參考美國安全港協議,並做到3份備份、存放在2種不同儲存媒體,至少1個存放在異地,才可以達到零失誤的備份原則)。蒲樹盛說,這最主要的參考標準就是營運持續管理的ISO 22301,這也是美國911事件後,許多企業參考的自願性規範。
最後,就是可以發揮資安聯防F-ISAC的優勢,不僅做到資安情資分享與合作,也可以建立金融資安事件應變體系,以及建立金融資安事件監控體,他認為,這是整個產業和企業的團隊合作(Team work)成果。
蒲樹盛笑說,許多企業都會導入ISO 27001資安認證,甚至可以說,臺灣有許多企業的資安作為就是以ISO 27001為核心,這樣的制度,廣度夠,但深度不夠,加上各行業的屬性與強度不一樣,透過所展開的十個面向就是一個兼具廣度和深度的資安生態系,其中也包含各種國際認證,能廣泛滿足各個產業的資安需求。
例如,治理、風險與法遵(Governance、Risk and Compliance)就可以參考ISO 27003、27004、27005、27014、27016以及ISO 31000;在網路安全與資訊安全(Cybersecurity and Information security)面向,也可以參考ISO 27003、27032、27103,以及BS 31111等標準。
其他可以構成資安生態圈的八個面向,也包括:資料保護(Data Protection)、第三方風險管理(Third Party Risk Management)、雲端(Cloud)、網路安全(Network Security)、應用程式安全(Application Security)、弱點管理(Vulnerability Management)、事件管理(Incident Management)和營運持續(Business Continuity),也同樣有相關的國際標準可以參考。
達成淨零碳排目標,打造永續的環境
除了數位信任外,現在隨著氣候變遷及各種新興的法遵與規範,都要求企業必須在2030年做到淨零排碳的目標,就是為了地球環境可以永續發展。
蒲樹盛表示,臺灣在永續發展上目前較不足之處,大概有四個方向,包括:人均碳排10.96公噸太高,2030年減碳目標達成率差,再生能源使用比例低,再生能源達成目標低。目前已經有企業利用資訊系統記錄各種用電、排碳的數位化過程,這些工作的推動,都有利企業進一步掌握距離淨零排碳的目標有多遠。
蒲樹盛表示,對所有的企業而言,都必須要有永續發展的藍圖,以淨零碳排及永續發展為目標,透過PDCA的循環,持續穩定達成永續的目標。
而永續的驅動力分成兩方面,一方面是外部壓力,這也同時是風險和機會,另外就是來自企業內部的關鍵策略,只有重視永續並作為企業的核心,企業才能真正做到以永續為目標。
至於這個永續發展藍圖是不同功能標準的整合,外部壓力包括:社會責任投資(SRI)、全球經濟市場趨勢的轉變、無法預期的氣候變遷和疫情、來自全球及國家的法令法規要求、非政府組織(NGOs)影響力,以及聯合國永續發展的推行。蒲樹盛說,像是聯合國17項發展目標,就是希望可以達到安居樂業,其他像是2030年控制全球升溫攝氏1.5度的目標等外部壓力,都是不會變的要求。
至於來自企業內部的關鍵策略,則包括:強化董事會職能、企業核心價值、達成永續願景、持續創新永續作為、提高資訊透明度、強化利害關係人溝通、接軌國際規範,以及深化永續治理文化。他指出,像是公司強化董事會職能,就會需要撰寫符合GRI準則、可揭露組織非財務資訊方面的永續報告書。
蒲樹盛坦言,組織韌性在未來十年、二十年如何持續?大家必須做到兩件事情,一是永續,另一是數位信任,組織就有足夠的數位韌性和未來。
熱門新聞
2024-11-18
2024-11-12
2024-11-20
2024-11-15
2024-11-15
2024-11-19