<strong id="zhlry"></strong>

  • <tbody id="zhlry"></tbody>
    <button id="zhlry"><object id="zhlry"></object></button>
  • <em id="zhlry"></em>
    當前位置:MFC金屬板材成形網 > 正文

    拒絕網絡攻擊與勒索病毒 企業CEO 應該具備的資安觀念與態度

    2021-09-10 14:25:52 來源:
    收藏
    導讀:

    近年來,企業遭受網絡攻擊與勒索病毒事件頻傳,為杜絕黑客惡意攻擊,企業應具備正確的資安觀念與態度,然而根據CIO調查結果顯示,企業對于資安的重視程度仍有相當大的成長空間,且多數CEO著重于提升企業效率與降低成本,但其實并不一定花大錢才能夠做好資安,若能正確建立對于企業資安的戰略層級思維,便能降低網絡攻擊與勒索病毒發生的風險!


    多數企業CEO其實并不重視資安


    今日應該鮮少有企業的運作能夠脫離對網路及信息系統的依賴,但是又有多少企業的經營者對于網絡與信息安全有充足的認識與了解呢?


    根據最近一期的CIO大調查(Y2020~2021),企業的CIO直接向CEO報告的比例從過去的45%上升至70.9%,這雖然代表著企業對IT部門的重視程度正在提高,但卻不等同于資訊安全的問題已得到應有重視。


    image.png

    2021 中國臺灣資安大會,數聯與母公司遠傳參展,眾多貴賓與CEO 蒞臨參觀


    因為同一份CIO大調查報告也顯示出企業的IT預算,最主要還是花在基礎架構的采購,包括:服務器、云端服務、儲存設備、及網絡設備仍占據企業IT預算的前四項主要支出,即使報告中“增加資安投資”已進入排名內,但實際的預算支出規模仍遠遠落在后面。


    CEO關心的是提高效率&降低成本

    我不禁好奇的想問:為什么CIO可以不直接報告給CEO?如同大家的理解、網絡與信息系統對于多數企業的重要性是毋庸置疑的,但是仍有高達三成的CEO不會直接參與及了解IT相關的事務,更遑論CEO能夠體會到信息安全的重要性及應有的投資比重。


    在許多企業CEO的思維中,IT就是一個后勤的服務提供單位、簡而言之就是一個很花錢、但又不能沒有的部門;因此、每當IT部門提出預算要求時CEO總是會質疑:這些錢現在一定要花嗎?花了這些錢之后可以提升多少產值???導致CIO們對企業IT的投資也會隨之以“提高效率”或“降低成本”作為主要要求,這也就形成了今天多數企業“明知資安很重要、但花錢時卻變得沒有那么必要!”的奇怪現象。


    不是花大錢才能做好資安

    多數是因為CEO不關心與不了解網絡與信息系統,所以也很難理解為什么當網絡及信息系統出現安全的問題,會影響企業的運作、甚至是讓企業經營因此陷入危機。


    更因為如此,多數的企業有IT部門、卻未必有專責的信息安全人員,更普遍的情況是CIO兼任著企業的CSO(Chief Security Officer),但是實務上而言、如前述CIO關心的是如何使信息系統的運作更有效率、及如何降低的成本,但CSO應該關注的卻是:如何讓企業免于曝露在網絡攻擊與信息系統被入侵的安全風險之下,其范疇并非僅是信息系統的效能、更重要的是安全,其中還包括了企業內部的流程管理、內部稽核與控制系統、個人資料保護等等。這兩者的角色功能看似雷同、但卻是彼此互斥,甚至有類似球員與裁判般的沖突,而當兩者角色重迭、也就成為許多企業最終很難將資安落實做好的原因之一。


    事實上用IT的觀點做資安工作,確實比較容易陷入“資安就是要花大錢”的迷思,原因就是:傳統信息系的建置以硬件加軟件采購為主,但是資安真正的核心卻是“服務”!因為網絡攻擊與黑客行為是不斷地在改變,沒有哪一套硬設備或是軟件可以保證絕對不會被攻破、萬無一失!重要的是如何讓企業的資安防護措施,持續保持在最能因應當下變化的狀態,但企業的IT購買硬體、購買軟件就是要附贈服務,這服務真的是專業的嗎?


    我看過許多案例:企業花大錢買昂貴的防火墻系統,但內部的IT人員卻不具備調校防火墻“關聯規則”的能力,供貨商也不是資安專業的廠商,只是價格最有優勢的代理或SI廠商,因此,從購入設備的第一天到最后這個設備被淘汰更新,能夠讓它發揮作用的最重要關鍵設定就是停在出廠值,從未被動過!甚至更多情況是設備早就已經“終止服務”(End of Service)或是國外原廠已經退出中國臺灣市場了(或是被其他公司并購)這個設備都仍裝在里,所以、設備未必真正發揮應有的功能,購置這個就是買一心安而已。


    23.png


    企業資安需要的是戰略層級的思維(Strategic Thinking)


    相信企業的領導者都清楚知道幾個常見的商業運作準則,例如:貨物交付海運或空運必然會依據其價值辦理保險,顯而易見的就是運輸過程的風險必須有所保障;又例如:保險公司承接醫療或是人壽保險,會根據被保險人的年齡、健康狀況,甚至是必須先提供當下的健康檢查報告,才能夠依據其結果判斷是否核保以及可以投保的理賠金額,其目的也是要在風險可控的狀況下做生意。


    從這些常見的商業運作準則所展現的避險觀念不難理解,企業的經營其實就是一個不斷面臨挑戰和冒險突圍的過程,而企業要能夠永續經營,需要的正是能夠在過程中不斷地克服困難及規避風險,然而現今已是萬物聯網的時代,企業已不再因產業類別而有所差異,幾乎所有的產業都無法避免的與無線網絡或信息化工具有著密切的鏈接,而關鍵重要的生產工具與環境,卻充滿著不可控的風險因素,作為企業的經營者怎么能夠視而不見?又怎么能不積極地管理這些風險呢?因此,CEO對資安至少應有下列幾項策略層級的認識:


    遭受網絡信息安全威脅不再是政府、金融、能源等等關鍵基礎機構的專利!


    近年來已經有大量的半導體、電子及3C產品生產、傳統制造業、服務業等遭受到攻擊和勒索,即便遭到攻擊的企業都宣稱具有極為完備的資安防護措施,但仍無法幸免于難。


    網絡信息安全并非必然是一般IT人員的專業!


    即使是學資訊工程的專業也未必是真的懂“網絡信息安全”,在資訊工程的領域如同醫學系也有內、外科,婦產科、心臟科…等等不同的專業一樣,千萬不要再要求原有的IT必須兼職做資安的工作了,想象一下:你敢請一位牙醫幫你動心血管手術嗎?請委由專業、專責的資安人員協助企業做好資安工作。

    網絡信息安全不是筑一道防火墻就可以高枕無憂!


    image.png


    不要再用購置生財器具的觀念來做資安了!因為網絡信息安全是一場不斷在變化的戰爭,就像是企業在市場上與競業不斷地相互競爭一樣,我們必須不斷的提防競爭對手攻進我們的市場搶走客戶,企業不可能一成不變,或是購置一套機器生產之后,就可以不必再做任何創新、甚至從此不需再做研發新產品的工作;同樣的道理、黑客會不斷地透過不同的方式企圖滲透進入企業,或是企業內鬼會惡意的外泄公司機密或客戶個資,這些都是企業必須面對的網絡信息安全挑戰,無法用單一手段就能解決的問題,因此,網絡信息安全的工作必須是一個長期的企業政策。


    網絡信息安全必須提升至公司治理的層級!


    安全影響的不僅是公司的營運效能,更有可能對企業的重大利益、聲譽、持續營運等等產生極大的影響,所以企業不應再將資安視為信息部門的一部分,而應該將層級提升,并由公司領導決策層級制定資安的政策框架,避免基層執行者因權限不足或無法擔負如此巨大的責任,而保守以對或是裹足不前,反

    相關閱讀:

    分享到:

    聲明: 本網站為沖壓和鈑金業內信息集合和展示平臺,歡迎不同的聲音和觀點,為行業人士提供參考,文章并不代表MFC的觀點。書面刊用本站及MFC《金屬板材成形》的原創文章,必須獲得MFC的書面授權;電子平臺轉載,則必須注明作者和出處,對于盜版、冒名和不注明出處等行為以及由此產生的負面后果,MFC保留追究的權利。

    我來說兩句(共0條評論,0人參與)注冊 登錄 |

    • 最新評論
      暫無評論

    品牌展廳365天全天候線上展廳

    推薦專題

     

    微信公眾號

    沖壓鈑金門戶

    掃描或搜索關注