iThome

灣大型企業今年的資安投資重點不太一樣。員工資安意識不足,仍是企業最擔心的資安風險,但是,從今年資安投資動向來看,企業更實務地因應接踵而來的資安挑戰。

先從資安投資規模來看,今年資安投資成長率,從去年的73%暴漲,回穩到10.2%,這個資安投資成長率大約和今年IT預算成長幅度相當,換句話說,企業平均比去年多了1成資安預算。從產業來看,去年金融業和服務業的資安預算大增,甚至翻倍成長,今年則指有些微提高。但去年預算緊縮的醫療業,受到資安法上路的衝擊,開始對醫院有更多的資安要求和規範,醫療業今年的資安投資翻了3倍,居各產業之冠。

以金額來看,大型企業今年平均資安投資是739萬元,又以金融業的3,839萬元最高。不過,這樣的資安投資,仍離CIO認為足以因應資安威脅所需的金額,平均還少了8成,尤其醫療業和政府機關,資安預算不足感最強烈。

IT基礎架構向來是資安投資大宗,不過,今年重視網路安全的企業更多了,甚至超越了IT基礎架構防護的排名,成了排名第一的資安重點。另一個今年崛起的投資重點是災難復原(DR),而想要強化員工資安意識的企業今年則減少了,企業等不及員工改變,改先從恢復力著手,倒是今年有8.6%的企業,準備要來提升董事會和CEO的資安意識,將資安意識的教育,拉高到高層。

值得注意的是,不少國外當紅的新興資安技術、資安作法也開始吹進臺灣,例如今年有2.1%的企業要實施紅隊測試,要組一個專門團隊從駭客思維來進行自我攻擊,想辦法找出企業資安防護網的弱點。另外也有1.8%企業決定要推出漏洞獎勵計畫,雖然仍舊是個位數的企業有意採用,但這代表了臺灣企業更快速地跟上全球資安趨勢的作法。

在資安人力上,目前仍有半數企業由IT部門兼資安單位,甚至有27.2%企業沒有資安專責人力,只是由IT人員兼任。但是,資安人才不好找,是僅次於.NET開發人員和MIS人員的熱門職缺,比起AI人員,更多企業想要招募資安人員。主要資安職缺是資安工程師和網路安全人員,另外,資安中階主管和熟諳資安的開發人才也很搶手。更有些企業要招募特殊資安專長人才,如滲透測試、弱點分析、惡意分析、數位鑑識、資安AI分析等職缺都有。

企業資安實力持續提升,也導致,今年編列了資安委外預算的企業減少了,從去年的18.2%,降低到今年的14.1%,不過,從產業來看,仍有26.7%的金融業者、30.3%政府與學校將部分資安工作委外,引進外部專業資安團隊來協助自家的資安防護。企業今年主要會採取委外的資安工作,包括了弱點管理與滲透測試、資安威脅監控、特定資安事件諮詢顧問,也有13.6%企業將資安維護作業委外。另有3成金融業者今年計畫要委託外部公司來進行對內的釣魚攻擊測試,這也是一個用來強化員工資安意識的方法。

7成企業去年至少發生過1次資安事件

臺灣企業依舊飽受各種資安攻擊的威脅,去年高達7成企業,發生過至少一次的資安事件,甚至有16.1%的企業發生了超過50次以上的資安事件,幾乎是每個禮拜就發生一次。

企業平均得花上11.5天,才能發現自己遭攻擊,一般製造業甚至得花上23.7天。發生資安事件後,能在一天內復原的企業只有63.1%,比去年74%,還少了一成,甚至有3成企業要數天到1周才能恢復正常。常見資安災情是造成企業業務或服務中斷,為了因應這些事件,也連帶提高了企業資安建置的成本。

企業自認擋不住資安攻擊的關鍵仍舊是員工,前五大風險依序是員工資安意識不足、惡意程式、釣魚攻擊、勒索軟體和垃圾郵件。這些都可作為企業今年調整資安戰略的參考。文⊙王宏仁

iThome 2019年資安大調查問卷執行說明

調查對象涵蓋了臺灣2千大企業,搭配iThome歷屆CIO大調查企業中的資訊部門最高主管,及政府一級機構、大專院校資訊主管和資安主管等,來進行線上問卷調查。調查從2019年1月21日到2月19日結束,回收488份問卷,有效問卷數382份。其中有72.1%填答者是企業資安最高主管。


Advertisement

更多 iThome相關內容