(1)大多數公司在過去一年改變了他們的網路安全策略
根據LogRhythm,全世界的企業已面對到威脅環境的快速改變,有95%的公司說,過去一年有調整網路安全策略。
這些策略轉變的中心是組織領導人角色的核心角色。對網路安全的認知從僅技術性問題而變為經營策略和公司治理之支柱,有78%說,網路安全主管或執行長(或兩者皆有)會負責防護及回應網路事故。
LogRhythm的資安長Andrew Hollister說,「網路安全領導人持續的變化,反映了組織看待和管理網路風險根本性的轉變。今日的威脅環境需要合作的方法,而高階經理人要與安全專家攜手合作瞭解風險、提出明智的策略決定,以及配置必要的資源以確保組織和和客戶之安全。」
推動網路安全策略之轉變,最主要的因素有:
*跟上變化的監理局勢(98%)
*需要達到客戶對資料保護與保密之期待(89%)
*AI帶動的威脅與解決方案興起(65%)
然而,在這些改變之中,安全團隊和非負責安全之高階經理人間的有效溝通,仍有明顯的落差。有44%非負責安全之高階經理人不瞭解公司須遵守的監理要求。
此外,有59%說,難以向非安全背景的利害關係人說明具體安全解決方案的必要性,這顯示了迫切需要強化報導機制,以面對在現代安全局勢裡做決定的複雜性。
在安全之演變中,有76%說他們有經驗到預算增加,以變更能管理新的威脅,近八成受訪者說,他們現在有充分的資源可在網路攻擊時防衛公司。持續正面的消息是,79%的安全專家現在會評價其安全防禦是不錯或優異。
是否這是過度自信仍有待觀察,特別是因為安全團隊並沒有報導關鍵營運指標—此定義了其安全投資和策略轉變是否有可衡量的影響。
研究發現,不到一半的安全團隊會報告回應時間(49%)、偵測時間(48%)及復原時間(45%)。
更令人擔心的是,有61%的安全團隊仍使用人工及耗時的方法來分享安全狀態的資訊。安全團隊需要輔以強化後的案例管理指標及進階分析,以便盡快提出明智的決定。
該研究是從五大洲1176位負責安全的高階經理人和專業人士獲得見解的全球性調查,審視了網路安全的幾個面向。
資料來源:https://www.helpnetsecurity.com/2024/05/03/cybersecurity-business-strategy-perception/
(2)調查:風險長說網路安全是壓力最迫切的風險
Insurance Journal在2024年 4月 15日報導:在EY/Institute of International Finance(IIF)第一份全球保險風險管理調查裡,網路安全被評為風險長最擔心的事宜。
受調查風險長說,明年前五大風險類型或風險管理類型是:
53%–網路安全風險
35%–保險風險(比如承保風險,包括失誤、災難與壽命風險)
32%–營運模式轉變/轉型
26%–信用風險(包括國家、主權及集中化風險)
24%–與資本配置有關、利率風險、科技風險(比如不當管理或維持科技系統、網路、資產及應用程式的風險)。
人力資本風險(22%)也被評為未來一年的高風險,反映吃緊的勞動市場。整體來看,有64%的受訪風險長說,吸引人才長期將變得越來越困難。第三方風險反映了人才稀缺和產業升高的關連性;更多保險公司想要透過生態系統及替代性採購模型來取得特定的能力及技術。
根據這份橫跨15國、68個保險公司的調查資料,當延長到未來三年的新興風險時,憂慮事項就改變了。雖然網路安全風險仍被所有受訪風險長視為最大風險(68%),但前五大風險就是更全球性的問題,包括地緣政治風險(56%)、環境風險(50%)、機器學習與人工智慧(43%),以及現有勞工的技能短缺/再培訓(41%)。
美國大選年的政治不確定性升高了風險;大多數受訪者都稱地緣政治風險是未來三年最迫切的風險。風險長視地緣政治風險主要有宏觀經濟影響(79%)、網路戰爭升高(67%)以及監理之轉變(64%)。
美國受訪者預期未來五年會比歐洲同業有高出兩倍可能性關注生成式AI。約有四分之一的公司有實行必要架構的核心要素,以處理AI風險。儘管仰賴成長中的生態系統及盟友來推動效率(43%)並取得新客戶(59%),但近半(46%)受訪者視管理第三方網路風險是對其營運韌性之威脅。
雖然對管理新的財務和監理風險有信心,但不到四分之一(22%)受訪者說,他們正實行AI、生成式AI及機器學習(ML)。這些採行AI的公司是以防禦機制在實務上這麼做的—有50%會建立控制以協助確保在決策上負責任地使用AI及ML。受訪者說,建立模型的風險升高,包括錯覺與可解釋的風險(61%)、資料保密(49%),以及消費者公平和演算法偏誤(37%)。
有超過三分之二(69%)的受訪風險長正將ESG整合進其風險管理架構,有87%正將ESG標準納入投資。雖然許多風險長對於組織將ESG整合到其決策之能力有信心,但僅3%受訪者完全瞭解其氣候變遷風險之暴露,以及略高於三分之一(36%)說,氣候風險正被整合到企業策略裡—雖然即將採取正面的行動。超過一半(53%)說ESG相關投資及獎勵ESG行為(34%)最有可能是領導性產品與功能。
儘管如此,有72%的受訪風險長對於能管理升高風險相關的變化有信心,同時有74%視預算對加速關鍵數位轉型策略而言最明顯的威脅。
EY的全球保險負責人Isabelle Santenac說,「保險業的風險長持續尋求機會以推動成長、降低營運風險。隨著2023年創紀錄的自然災害,對於保險公司而言,要處理高達數十億美元此越來越大的保護落差,再加上預算縮減以及處理我們這一代最急迫的某些氣候相關災難,因此這個壓力正在加劇。」
儘管在「危險環境」中營運,但她說,「風險長正有意義地投資於生態系統、使用AI來處理某些舞弊的升高,還有透過打造基礎吸引人才到這個充滿潛力的產業以減少某些未來風險。」
儘管面對到某些俗稱的「多重危機」,但還是有信心。
IIF的保險監管及政策總監Mary Frances Monroe說,「面對複雜的風險、快速的技術進步以及資源和人才吃緊,我們的調查結果突顯了保險風險長的韌性和適應力,以及他們對數位轉型的堅定承諾。」
2023年的事件提高了保險業者試圖以風險管理實務強化第一線運作的腳步,有59%的受訪者強化了他們的流動性管理政策、程序及實務,而超過一半(56%)在過去12個月更新了他們的資產負債管理(asset liability management,ALM)架構。
資料來源:https://www.insurancejournal.com/magazines/mag-features/2024/04/15/769327.htm
(3)董事會應對網路安全進行對話
Trustwave在2024年4月24日有這一則"The conversations boards should have about cybersecurity"的報導。
Trustwave的亞太區總經理Jason Whyte說,「傳統上,董事會成員基本上不是科技導向,因此對他們要完全掌握網路安全風險的複雜性,是一大挑戰,而他們的角色最主要就是高階決策,而不是投身科技之實行或查核的細節。」
「相反的,資安長擅長於網路安全的技術面向,並要確保和資料安全所需的IT員工緊密合作與措施。」
以下是每個企業現在都應該進行的三種對話:
1.強化資安長與董事會的關係
資安長要促進與董事會之間的合作關係。很清楚的,直接溝通是關鍵。這應該包括對風險優先性、預算強化及投資主動安全工具的討論。資安長需要確保:以董事會有共鳴的方式,向他們報告網路安全威脅的嚴重性,並減少的必要因應措施。
2.重新架構網路安全為策略性投資
網路安全不只是預算中的另一個單行項目而已,而是投資組織的未來。歷史上看,網路安全預算一直被視為成本、而非策略投資。但,以其他業務投資同樣的審查來看網路安全支出,是很重要的。要以財務回報、以及它能保護公司免於營運中斷和名譽損害之程度,評估其投資報酬率(ROI)。相較於保險,或許這麼做未必能看到立即的效益;但當需求出現時,價值就很明顯。
3.因應新的網路安全趨勢調整
網路安全局勢裡的新趨勢,比如人工智慧和自動化的整合,提高了複雜性。這些科技,雖然會強化威脅偵察及因應能力,但也需要策略落實以符合整體網路安全目標。同樣的,現代供應鏈的複雜性需要健全的安全措施。供應鏈上的每個要素彼此相連,任何部分的入侵,都會危及整個系統。持續的風險監控及管理,對於維持這些彼此相連體系的安全完整性,十分重要。
Jason Whyte說,「在2024年,資安長需要從技術專家轉型為策略的高階領導人。他們的責任現在超出了傳統的網路安全監督,要符合企業目標的網路安全策略,以確保監理遵循、並促進組織安全第一的文化。」
「將網路安全整合到企業策略,是多面向的挑戰,而這需要平衡性的方法—結合了科技專業、策略性的業務瞭解,以及有效溝通。資安長及其董事會成員之間的合作,是由持續對話及相互學習為基礎的,對於管理網路安全風險、確保企業長期韌性與成功而言,是很重要的。」
沒有留言:
張貼留言