資安不能說的秘密

不論是臺灣企業或國外企業，一旦發生事故，多半不願意張揚，尤其是企業內發生資安事件造成損失，除非法規要求，否則企業會想辦法秘而不宣，免得影響企業聲譽。

家醜不宜外揚，雖然是人之常情，但從資安風險評估的角度來說，缺乏了真實可參考的數據，企業就難以估算災害真正的影響程度，評估風險程度時，CIO或CSO個人過往經驗就成了重要的判斷依據，但終究並非人人都是資安經歷豐富的老手，多半只能尋求外部顧問協助，或以想像情境來預做安排。

企業發生資安事件的頻率有多高？因資安事件造成的損失有多大？人人都想知道，想藉此來安排未來的因應對策，但又隱隱不願透露自家災情。資安事故情報，成了企業間不能說的秘密。

儘管國外已有一些資安調查，每年定期會揭露全球跨國大型企業資安事件的災情統計，但這些數據仍難以套用在規模和國外截然不同的臺灣企業真實情況。也因此，在今年iThome CIO大調查中，我們特別設計了資安大調查，來了解臺灣中大型企業資安現況。

這次調查發現，高達80.1％的臺灣中大型企業，去年都曾發生過資安事件，甚至有26.2％的企業發生50次以上的資安事件。儘管資安事件或大或小，但這個數據反映出了資安事件不再是偶然發生的事件，已成了企業資訊長或資安長們，年年都要面對的經常性考驗。

不過，資安事件不見得會造成實質財務損失，即使發生事故的企業比例這麼高，仍有75.2％的企業認為沒有遭受任何金錢上的損失，11％的企業IT主管則評估整年的損失金額在50萬元以下，但值得警惕的是，也有少數約5.9%企業去年因資安事件損失破百萬元，甚至有企業坦言損失達到千萬元之多。造成資安事件的來源，除了常見的駭客之外，在這次調查中也發現，超過4成企業坦言，是自家內部員工之故，尤其是醫療業，高達65.2％資訊主管，坦言首要資安事故源頭是內部員工，比例居所有產業之冠。

也因此，企業2016年在資安預算上的成長幅度，比IT預算的成長率還要高，達到14.5%，尤其是金融業者今年資安預算平均成長了22.5％，也有2成金融業者今年要招募更多資安人才。服務業者也有1成多提供資安職缺。

為了預防資安事件的發生，超過4成企業打算落實進階權限控管，甚至有5.8％的企業，計畫今年要採用資安保險來分攤風險。BYOD控管也是未來一年的重點之一，近3成企業要導入。

在資安採購動向上，除了基本的防毒防駭軟體仍舊蟬聯第一之外，更多企業有意導入強化對新式資安威脅的因應，像是APT解決方案和DDoS防護的需求，也從去年只有個位數百分比的企業想買，在今年快速增加到了1成6至1成7的企業要導入，幾乎翻了一倍。

 相關報導 

【iThome 2016年CIO大調查：資安應用篇｜臺灣資安數據大解密】

【iThome 2016年CIO大調查IT投資篇｜CIO看2016】

【iThome 2016年CIO大調查｜雲端企業時代來了】