iThome

企業面臨的資安威脅一年比一年嚴峻,但可投入的資安人力和資源,成長幅度卻沒有跟著等比例增加。根據iThome 2021年CIO暨資安大調查,雖然整體企業2021年的平均資安預算預估772萬元,約占IT預算的4.8%,但是仍然距離CIO和資安長們的期待還有很大的落差,CIO認為還要多增加4成的資安預算,才足以因應企業當下面臨的威脅。這也是為何,今年調查結果中,企業對自身資安防護能力的信心,只有62.4分,大致有信心能抵抗威脅,這個信心水準比去年還要略低。威脅驟增的壓力,讓CIO和資安長得更審慎善用有限的資安預算,才能用在刀口上。

資安風險評估資訊,就是一種可以用來分配資安資源的參考。今年CIO暨資安大調查,我們特別設計了一組題目,讓填答的CIO和資安長來自評,企業未來一年最可能發生以及最不可能發生的資安項目,同時也自評這些資安項目對企業自身的衝擊高低。透過未來一年發生的可能性和衝擊程度,來設計出一份「企業資安風險圖」,透過四象限的XY圖,來呈現19種資安風險項目的分布態勢。

水平X軸代表了發生可能性,位置越往右代表這項資安風險發生的可能性越大,反之,往左則是發生可能性越小。垂直Y軸則代表了衝擊程度,位置越高代表這項資安風險對企業的影響越大,反之,位置越往下就越低。中間零值代表了這項資安風險的衝擊和可能性不高也不低。

這19項常見的資安風險還可以分為三類,第一種是常見資安事件,例如資安漏洞事件、勒索軟體導致的外洩事件等,第二種則是攻擊者,例如駭客、離職員工、競爭公司等,還有第三種則是攻擊向量(Attack Vector),這是指發動資安攻擊的途徑或管道,可以是成為跳板的對象、遭利用的設備或是攻擊手法,例如行動應用、社交工程、第三方業者。

在企業資安風險圖中,還劃分出四個象限,列入了第1象限中的項目,代表了「衝擊高可能性也高」的資安風險項目。其餘同理,第2象限是「衝擊高可能性低」,第3象限是「衝擊低但可能性高」,而最後一個第4象限則是「衝擊低可能性也低」的資安風險項目。列入第1象限的項目,都值得企業高度重視,但我們更進一步在第1象限中,圈選出企業最需要優先關注的首要風險項目,以及次要風險項目,作為企業可以優先投入資安資源的標的。

以整體產業2021企業資安風險圖來說,未來1年,對臺灣大型企業來說,首要資安風險有3項,包括了駭客攻擊、勒索軟體造成的外洩事件,以及資安漏洞引起的資安事件。這是不分產業,所有企業都應該要優先防範的項目。次要風險則有來自社交工程發動的攻擊,以及網路犯罪者引發的攻擊。值得注意的癱瘓關鍵基礎設施的網路攻擊,雖然只是針對特定對象發動的攻擊,而非所有企業,但這些攻擊也會波及其他企業,因此,也進入了企業資安風險圖的第1象限,屬於衝擊高可能性也高的風險項目。

在今年大調查中,我們彙整了439家企業CIO和資安長們的資安風險自評結果,繪製出了這份企業資安風險圖,包括了企業整體和六大產業各自的資安風險圖。這些資安風險圖,等於是這些臺灣大型企業,自己所看到的未來1年資安威脅態勢。資安主管或IT主管也可以自行評估,你對這19項資安風險項目,每一項對自身企業的衝擊高低,以及發生可能性大小,可分10級,1到10分,再自行繪製到這一張資安風險圖上,就可以比較,自身察覺到的資安威脅,和業界觀察之間的落差。可以用來找出,那些自己不夠重視,或是過去沒有留意,但卻是同業認為需要高度重視的資安風險項目,就能用來重新檢視自家資安資源的分配或資安防護策略的安排。

 企業資安風險圖製作說明  在iThome 2021年CIO暨資安大調查中,由企業自評各資安項目的風險程度,還分為2類風險,一是此資安項目對企業的衝擊程度(衝擊很大和衝擊很小),以及這個資安項目未來1年發生的可能性(極可能發生與極不可能發生),再換算成不同程度的量化數據來製圖。垂直軸是該項目對企業的衝擊,位置越往上代表衝擊越大,水平軸是企業未來1年發生該項目的可能性,位置越右,代表可能性越大。

 問卷說明  大調查執行期間從2021年3月8日到4月5日,對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管,進行線上問卷調查,有效問卷439家,其中68.4%填答者為企業資安最高主管。

 相關報導 

熱門新聞

Advertisement