不論是臺灣企業或國外企業,一旦發生事故,多半不願意張揚,尤其是企業內發生資安事件造成損失,除非法規要求,否則企業會想辦法秘而不宣,免得影響企業聲譽。

家醜不宜外揚,雖然是人之常情,但從資安風險評估的角度來說,缺乏了真實可參考的數據,企業就難以估算災害真正的影響程度,評估風險程度時,CIO或CSO個人過往經驗就成了重要的判斷依據,但終究並非人人都是資安經歷豐富的老手,多半只能尋求外部顧問協助,或以想像情境來預做安排。

企業發生資安事件的頻率有多高?因資安事件造成的損失有多大?人人都想知道,想藉此來安排未來的因應對策,但又隱隱不願透露自家災情。資安事故情報,成了企業間不能說的秘密。

儘管國外已有一些資安調查,每年定期會揭露全球跨國大型企業資安事件的災情統計,但這些數據仍難以套用在規模和國外截然不同的臺灣企業真實情況。也因此,在今年iThome CIO大調查中,我們特別設計了資安大調查,來了解臺灣中大型企業資安現況

這次調查發現,高達80.1%的臺灣中大型企業,去年都曾發生過資安事件,甚至有26.2%的企業發生50次以上的資安事件。儘管資安事件或大或小,但這個數據反映出了資安事件不再是偶然發生的事件,已成了企業資訊長或資安長們,年年都要面對的經常性考驗。

不過,資安事件不見得會造成實質財務損失,即使發生事故的企業比例這麼高,仍有75.2%的企業認為沒有遭受任何金錢上的損失,11%的企業IT主管則評估整年的損失金額在50萬元以下,但值得警惕的是,也有少數約5.9%企業去年因資安事件損失破百萬元,甚至有企業坦言損失達到千萬元之多。造成資安事件的來源,除了常見的駭客之外,在這次調查中也發現,超過4成企業坦言,是自家內部員工之故,尤其是醫療業,高達65.2%資訊主管,坦言首要資安事故源頭是內部員工,比例居所有產業之冠。

也因此,企業2016年在資安預算上的成長幅度,比IT預算的成長率還要高,達到14.5%,尤其是金融業者今年資安預算平均成長了22.5%,也有2成金融業者今年要招募更多資安人才。服務業者也有1成多提供資安職缺。

為了預防資安事件的發生,超過4成企業打算落實進階權限控管,甚至有5.8%的企業,計畫今年要採用資安保險來分攤風險。BYOD控管也是未來一年的重點之一,近3成企業要導入。

在資安採購動向上,除了基本的防毒防駭軟體仍舊蟬聯第一之外,更多企業有意導入強化對新式資安威脅的因應,像是APT解決方案和DDoS防護的需求,也從去年只有個位數百分比的企業想買,在今年快速增加到了1成6至1成7的企業要導入,幾乎翻了一倍。

 相關報導 

iThome 2016年CIO大調查:資安應用篇|臺灣資安數據大解密

【iThome 2016年CIO大調查IT投資篇|CIO看2016】

【iThome 2016年CIO大調查|雲端企業時代來了】

作者簡介


Advertisement

更多 iThome相關內容