iThome

資安自信心成為資安變革的動力,更多臺灣大型企業,資安自信心比過去更高,也更想要改變資安戰略的做法。

疫情後加快了企業IT現代化的腳步,轉型成高度數位化的營運型態,這兩年的生成式AI浪潮,再次帶動了臺灣企業的上雲浪潮。當前,企業面臨的資安態勢,比過去更嚴峻,但是,面對勒索軟體高度產業化、雲端資安威脅更加多樣化、軟體供應鏈更頻繁出現雪崩式漏洞威脅,許多企業不再像過去以被動防護為主,轉而積極採取主動防禦作為,擁抱新世代零信任資安架構,更將資安應對左移,延伸到軟體開發階段,前期業務規畫作業中,從產品、服務、企業應用發展的前期,就開始做好資安。

強化資安向來是企業資訊長排名第一的年度目標,但今年以此為目標的CIO,減少了,轉而代之的是,更多企業資訊長、資安長聚焦更根本的資安轉型,不只是做好,而要更積極展開資安變革。今年高達49.8%的企業資安長,將資安轉型定為年度目標,遠高於去年的30.8%比例。

在今年iThome資安大調查可以看到,高達46%的企業資訊長、資安長對企業資安能力有信心,這個比例遠高於去年的28.7%。更多企業相信自己,夠有能力來因應層出不窮的資安風險和威脅,也更願意做出改變,來迎戰。

不過,仍有4成多企業自安自信心在及格邊緣,只是大致有信心,一成企業只有點信心,2.1%企業甚至對自己的資安能力,完全沒有信心。以整體產業的資安信心水準來看,約達到67.1分左右,比去年的64.2分,今年明顯增加了不少。各產業的資安信心水準也各有高低,金融業(74.8分)和政府學校(72.1分)的評分相對較高,都超過了70分,而醫療業的分數最低,只有61.3分,在60及格線的邊緣。

企業整體資安的強度,取決於最弱的一環,為了更進一步反映臺灣企業的資安短處,在今年大調查中,我們以美國NIST CSF 2.0的6大核心構面,從治理、識別、保護、偵測、應變和復原等六項,來了解企業資安信心的分布,讓資安長自評哪一項最強,那一項較弱?

從調查中可以看到,六項中,53.4%企業對復原能力有信心,而只有41%的企業對識別能力有信心。換句話說,復原能力是臺灣企業的資安強項,而如何識別、分辨各種潛在的資安風險和威脅,是臺灣企業資安能力相對不足,也是未來需要優先強化的方向

今年的iThome CIO暨資安大調查有一項改變,取消了對於臺灣大型企業資安災情的搜集,不再調查「企業每年發生的資安事件數量」、「企業遭駭平均發現時間(多久才能發現自己遭駭)」以及「遭駭後平均復原時間」。最大考量是,企業對於資安事件和災情的定義,落差很大,這兩年更隨著法規的變化而有不同的定義變化。

尤其隨著證交所過去兩年來,不斷調整對於上市公司資安事件重大性的認定標準,從2年前由企業自訂,到今年1月訂出了「重大性」標準,隨後又在5月底,再次調整定義,擴大範圍,要求上市公司只要發現遭駭客攻擊或入侵,現在不論是否涉及核心資訊系統、機密文件,都屬於對公司造成重大損害或影響,需發布重大訊息對外揭露。

這三項由企業資安長和資訊長自評的數據,會因為不同企業各自認定的不同有有落差,更會因為法遵要求的變動,影響了這些數據的長期(尤其是跨年比較)參考性。再加上訪間,已有不少資安公司每年會定期揭露類似的數據,因此,我們決定從今年開始,不再搜集臺灣企業資安災情的數據,轉而聚焦更有決策參考時效性的領先指標的分析,例如2024~2025資安風險分布圖,以供企業資安長未來一年資安決策的參考。

另一方面,我們也進一步以美國NIST CSF 2.0的6大核心構面,從治理、識別、保護、偵測、應變和復原等六項,來了解各產業對於不同構面的資安信心水準分布,並且將34項企業資安投資重點,對應到其中5大核心構面(CSF 1.0版),設計出新的參考圖表「網路防禦矩陣CDM(Cyber Defense Matrix)」,可以比較企業資安信心水準雷達圖和這個防禦矩陣,來了解企業現有資安布局,如何補強企業意識到的資安弱點。

 問卷說明  iThome資安大調查執行期間從2024年2月15日到3月15日,對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管,進行線上問卷,有效問卷422家。填答者中,企業CIO則占了71.8%,企業資安最高主管則占了62.8%。產業分布上,一般製造業17.8%、高科技製造業22.7%、服務業23.7%、金融業12.8%、醫療業13.3%、政府與學校則占了9.7%。

熱門新聞

Advertisement