這幾年因為法規要求,臺灣多了很多資安長,但也因高階人力有限,不少企業的資安長職務,是由非技術出身的行政主管兼任。有次,一位財務兼任的新任資安長在臺灣資安大會上,談到接任上任後的甘苦談,剛開始幾個月,最讓他頭痛的問題是,總經理一開始老愛問他,我們的資安做得怎麼樣?能不能百分之百擋住所有駭客攻擊?他的兩難是,回答的太滿,資安預算爭取不易,老闆會覺得已經夠用了不願意再給更多,回答得太弱,又擔心老闆認為自己沒有做好資安長的工作。後來,他知道了,必須要告訴老闆,不同資安威脅有不同的風險高低,有些已有足夠能力阻擋,但有些還需要再投入資源強化。

臺灣企業對自己資安能力的信心有多大?對於老闆的這個問題,資安長或資訊長們會如何回答?這幾年在iThome每年CIO暨資安大調查中,我們也都會問類似的題目,你對自己的資安能力多有信心?從沒有信心,到極有信心,讓資安長自己給自己評估信心水準的等級,但幾年下來,每一年的信心水準總是大概在及格邊緣,也就是「大致有信心能夠抵抗威脅」。

若進一步比較各產業,自信心較高的企業,金融業超過6成5,政府學校則將近4成,高科技2成多,服務業、一般製造和醫療都不到2成。這個資安自信心的產業排名,恰好跟各產業資安預算高低的排名差不多,自信心高的產業,資安預算較高。

雖然,不能說資安預算越高,就對資安越有信心,因為,過半數企業最大的資安弱點是人,但是,資安預算越充沛,資安長和資訊長也就越有資源來因應日益複雜且繁多的資安威脅。

可是,根據我們的調查,資安長認為,需要再多3成資安預算,才足以抵抗他所看到的資安威脅。換句話說,每一年,資安長們都是在資安預算只夠7成因應需求的情況下,想盡辦法提高這些預算的利用率。

如何只靠7成資源,發揮12分的效果?只有優先強化自己資安防護中最薄弱的一環,這往往是最容易出現資安破口的地方,另一方面也要優先將有限的資安預算,用來因應衝擊高、發生風險也最高的那些威脅項目,才能夠更善用這些資源。

這正是過去3年,我們每一年都發表臺灣企業資安風險圖的目的,今年也不例外,今年還增加了幾項關於ChatGPT浪潮帶來的風險項目,例如ChatGPT外洩機敏資料的風險,ChatGPT淪為攻擊輔助工具的威脅,希望讓企業對於2023和2024年可能遭遇的資安風險有更具體且更貼近臺灣企業態勢的參考。在2023年第四季,企業也要開始規畫明年資安預算之際,這份企業資安風險圖,可以用來找出需要優先投入資源的刀口,讓7分力氣可以打出12分的效果。

 

專欄作者

熱門新聞

Advertisement