(1)調查:高階經理人要為網路安全負更大責任
2024年8月16日Security Boulevard網站報導,一份針對1850位IT與網路安全決策者所做的全球調查發現:超過一半(51%)受訪者說,董事或高階經理人在網路攻擊後會面對到罰款、監禁、去職,或者失業。
Sapio Research受Fortinet委託執行的調查也發現:超過50%的受訪者承認,網路漏洞去年耗費了其組織超過100萬美元的營收、罰款或其他支出。僅不到三分之一指出,會花超過一個月從攻擊後恢復。
幾乎所有受訪者(97%)說,他們的董事會視網路安全為業務優先事項,不到四分之三(72%)指出,他們的董事會在2023年比前一年更重視安全。
不過,調查明確指出,長期缺乏技能會傷害網路安全措施。在過去一年,近87%的受訪者說,他們有遇過網路入侵,部分原因就是網路技能不足,有70%指出,網路安全技能短缺,會引發組織額外的風險。
有89%說,要縮短此一落差,組織要支付員工相關費用,以獲得網路安全認證而確保有正確技能。90%也指出,其組織偏好聘僱有認證的候選人,但72%說,難以找到有科技為主認證的候選人。
Fortinet Training Institute的副總裁Rob Rashotte說,很清楚的有更多組織關注:如何在損失持續大增之下,建立起一個網路安全意識的文化。畢竟,人才是第一道防線。
Rashotte說,對組織最大的問題,通常未必是基礎技術,而是在高階管理層、IT團隊和安全專家之間有清楚的溝通線。
他還說,與此同時,許多安全營運任務,也會交給網路營運團隊,以協助補強長期的網路安全技能短缺問題。
(2)公司網路安全挑戰正在上升中
這篇是介紹PwC的"2024 Digital Trust Insights: Asia Pacific"報告,2024年8月6日在Bangkok Post刊出。
這份調查分析了亞太區683位業務及科技主管的看法,發現公司對生成式AI的看法是憂喜參半,很多公司正在擴大網路安全的投資,以防禦網路攻擊。
亞太區公司也高度意識到:網路攻擊會如何損及商譽、客戶信心與營運,並造成實際與潛在業務機會。
亞太區重大資料外洩事件有所增加,有35%的組織遭遇過資料外洩,金額在過去三年間從100萬至2000萬美元都有。
在網路安全風險升高下,54%的組織最擔心的是—流失客戶、員工及交易資料的風險,同時有46%擔心對公司品牌與營收的衝擊。
整個組織網路威脅的多面性,代表這個問題現在會主導董事會議程,有95%公司會聘用具報導網路風險及減緩措施深度經驗的人擔任董事。
關於網路安全風險的董事會會議記錄,也會增加。有鑑於亞太區各國網路安全立法、資料保護法增加的趨勢,董事會對此的審查會隨時間而增加。預期這會提高遵循成本(有42%的受訪者如此表示),同時也會讓組織有更大的罰款風險。
當企業開始建立資源,採用整合性的風險管理方法以強化網路設施、促進更強的韌性時,領導人可以從關注以下關鍵策略著手:
*建立整個組織的共同策略與目標,確保這些目標包含相關主題、功能與層級;
*讓相關風險主題可以跨部門,以便產生綜效,並對全組織做出更佳的決定,以利所有層級都更能負責、更有意識;
*對網路風險建立更多的董事會監督及當責性;
*將網路風險整合到組織整體的風險架構內,並有公司安全主管的協助與支持:
*發展一個全面性的工作策略,重視整個組織的數位技能提升措施及人才發展,並透過第三方專家加以平衡;
*辨識與強調投資—長期對業務和安全有最大影響的科技資產。
PwC Thailand的諮詢合夥人Rishi Anand說,監理嚴格的產業,比如金融服務,會比較積極。但是某些公司仍只在意遵循,而非管理整體風險。
當問及泰國公司使用生成式AI到網路安全時,Anand說,泰國對AI之採用仍處於早期階段,即大多數企業關注的是業務面,比如聊天機器人、貸款服務、水資源管理,而非網路安全。
「縱使是在網路安全裡,AI主要還是用來強化偵測、回應能力,以符合亞太區更廣的趨勢。同時,關於AI用作網路安全之對話,大多關注於建有機器學習能力、或先進AI部分的產品。」
資料來源:https://www.bangkokpost.com/business/general/2842292/corporate-cybersecurity-challenges-on-the-rise
沒有留言:
張貼留言