7分力如何打出12分效果

這幾年因為法規要求，臺灣多了很多資安長，但也因高階人力有限，不少企業的資安長職務，是由非技術出身的行政主管兼任。有次，一位財務兼任的新任資安長在臺灣資安大會上，談到接任上任後的甘苦談，剛開始幾個月，最讓他頭痛的問題是，總經理一開始老愛問他，我們的資安做得怎麼樣？能不能百分之百擋住所有駭客攻擊？他的兩難是，回答的太滿，資安預算爭取不易，老闆會覺得已經夠用了不願意再給更多，回答得太弱，又擔心老闆認為自己沒有做好資安長的工作。後來，他知道了，必須要告訴老闆，不同資安威脅有不同的風險高低，有些已有足夠能力阻擋，但有些還需要再投入資源強化。

臺灣企業對自己資安能力的信心有多大？對於老闆的這個問題，資安長或資訊長們會如何回答？這幾年在iThome每年CIO暨資安大調查中，我們也都會問類似的題目，你對自己的資安能力多有信心？從沒有信心，到極有信心，讓資安長自己給自己評估信心水準的等級，但幾年下來，每一年的信心水準總是大概在及格邊緣，也就是「大致有信心能夠抵抗威脅」。

若進一步比較各產業，自信心較高的企業，金融業超過6成5，政府學校則將近4成，高科技2成多，服務業、一般製造和醫療都不到2成。這個資安自信心的產業排名，恰好跟各產業資安預算高低的排名差不多，自信心高的產業，資安預算較高。

雖然，不能說資安預算越高，就對資安越有信心，因為，過半數企業最大的資安弱點是人，但是，資安預算越充沛，資安長和資訊長也就越有資源來因應日益複雜且繁多的資安威脅。

可是，根據我們的調查，資安長認為，需要再多3成資安預算，才足以抵抗他所看到的資安威脅。換句話說，每一年，資安長們都是在資安預算只夠7成因應需求的情況下，想盡辦法提高這些預算的利用率。

如何只靠7成資源，發揮12分的效果？只有優先強化自己資安防護中最薄弱的一環，這往往是最容易出現資安破口的地方，另一方面也要優先將有限的資安預算，用來因應衝擊高、發生風險也最高的那些威脅項目，才能夠更善用這些資源。

這正是過去3年，我們每一年都發表臺灣企業資安風險圖的目的，今年也不例外，今年還增加了幾項關於ChatGPT浪潮帶來的風險項目，例如ChatGPT外洩機敏資料的風險，ChatGPT淪為攻擊輔助工具的威脅，希望讓企業對於2023和2024年可能遭遇的資安風險有更具體且更貼近臺灣企業態勢的參考。在2023年第四季，企業也要開始規畫明年資安預算之際，這份企業資安風險圖，可以用來找出需要優先投入資源的刀口，讓7分力氣可以打出12分的效果。