IDC：亞太區8成4的企業資安策略僅達最低標準

台灣新春開年便發生證券業遭DDoS攻擊的重大資安事件，然而根據IDC最新的研究結果顯示，台灣企業面臨的資安挑戰在亞太區可能並不孤單：高達84%的亞太區(除日本外)的企業採行的資安策略，僅符合該組織成熟模型的最低標準。

IDC亞洲資安實務副總裁Simon Piff表示，亞太區企業在成熟模型上普遍表現不佳的狀況不難想像，與區域內國家的資安相關法規現狀有直接關聯，但駭客攻擊基本上與各國資安法規無關，加上新的攻擊手法更容易讓受害企業產生財務損失，他建議各國企業在資安防護上，不應該只以法規遵循為主要方向。

IDC將資安成熟度由低至高分成單點型（Ad Hoc）、回應型（Opportunistic）、法規遵循型（Repeatable）、主動合作型（Managed），以及風險預測最佳化（Optimized）等五大類型（下圖所示，來源：IDC），根據IDC調查的800多家亞太區企業，發現高達43.8%的企業屬於最不成熟的單點型，僅部署最基本的資安防護，且缺乏專職的資安人員；此外有40.2%的企業落在回應型，配備專責資安人員，但多半仍仰賴外部資源，且資安配置以法規要求的範圍為限，並未具備清楚的防護架構與內部風險評估機制。落在這兩個被IDC視為僅及於成熟度底線的企業，合計佔比高達84%。

IDC表示，綜觀全球，資安管理問題主要都環繞在人員與安全技術兩大挑戰，但在亞太區，缺乏專責的專業資安人力是一大問題，許多企業仍將資安列為IT部門的部分責任，甚至讓資訊長(CIO)主掌資安事務，凸顯出企業對於安全威脅本質的不了解。此外，在採用的科技方面，亞太區企業普遍仍專注在防衛邊界安全，但隨著雲端運算與行動裝置的普及，資安業界早已經普遍認可100%的邊界防衛已經是不可能的任務，必須採行不同的策略，方可有效降低風險。

Piff建議，企業應該以風險管理角度來檢視內部的關鍵數位資產，並針對這些關鍵資產提供目標性的防護，同時不能再基於壞人一定在企業邊界之外的心態來部署防護，而必須持續監控，以因應真實環境的動態變化。