資安廠商趨勢科技發布 2024 研究報告,訪問全球 2,600 名大、中、小型企業負責資安的 IT 領導人,了解他們對攻擊面風險管理(ASRM)的態度。報告揭露全球企業資安韌性正面臨的前三大問題,不過,這些問題之所以存在,也反映許多企業權責不明確的現況,趨勢科技也據此提出建議。
【下載 TechOrange 資安趨勢報告】
別等到系統崩潰才後悔!提升企業競爭力「資安」是關鍵
>> 免費下載報告看關鍵技術 <<
企業前 3 大資安韌性問題揭曉!為何多數企業辦不到?
趨勢科技報告指出,全球企業資安韌性現在面臨的前 3 大問題分別為:第 1,缺乏充足的人力來實現全年 365 天、7 天 24 小時的網路資安(僅 36% 做到)。第 2,未採用評估攻擊面風險所需的攻擊面管理技巧(僅 35% 採用)。第 3,未導入通過考驗的法規和其他框架,例如 NIST Cybersecurity Framework(僅 34% 導入)。
然而,絕大多數企業都無法做到上述這些網路資安基本功,趨勢科技認為原因也許可歸諸於,其最高領導階層無人負責帶領資安事務。
近 50% 受訪者:領導階層不認為資安是他們的責任
報告調查,約半數左右(48%)的受訪者表示,其領導階層不認為網路資安是他們的責任,而且只有 17% 強烈不認同這樣的說法。當被問到誰有責任或應該負責防範業務風險時,受訪者的回答相當分歧,顯示出權責不明確的情況。其中,約僅近三分之一(31%)表示最終責任在 IT 團隊身上。
趨勢報告認為,像這樣網路資安策略方向不明確的情況,或許也解釋了為何超過半數(54%)的全球受訪者都抱怨其企業對資安風險的態度每個月都在改變的現象。
當許多企業面臨無人帶頭來矯正資安問題,調查中幾乎所有(96%)的受訪者都對其攻擊面感到擔憂。此外,有超過三分之一(36%)擔心他們應該要有方法可發掘、評估及防範那些高風險的領域,另有五分之一(19%)表示無法根據單一事實來源來執行他們的工作。
缺乏領導使企業對資安麻木,專家強調「資安長」重要性
趨勢科技技術總監 Bharat Mistry 表示:網路資安如果缺乏明確的領導,將使得企業變得麻木,導致決策趨於被動、零散且紊亂。
他建議,企業需要資安長(CISO)從業務風險的觀點向董事會明確溝通資安的問題,以獲得董事會支持;最理想的狀況是,資安長能透過單一事實來源,掌握整個攻擊面的最新狀況以便向董事會報告,同時要持續監控風險並自動矯正問題,以獲得更好的資安韌性。
*本文由 趨勢科技 提供,內文與標題經 TechOrange 修訂後刊登。新聞稿/產品訊息提供,可寄至:[email protected],經編輯檯審核並評估合宜性後再行刊登。首圖來源:Canva。
(責任編輯:廖紹伶)
