(1)亞太區網路安全支出不斷上升為何投資報酬率仍未能取信董事會
TechRepublic 在2026年 2月 6日報導,整個亞太區的網路安全預算正在增加。然而對許多資訊長與資安長而言,較難以啟齒的不再是安全為何重要,而是投資是否實際上帶來可衡量的價值。
從PwC最近的數據顯示,84%的亞太區組織在過去一年增加網路安全預算。表面上看起來,這顯示高階經理人強有力的支持。然而,實務上不斷增長的支出並未讓人放心,反倒招致董事會與財務長更尖銳的審查。
隱而未現的緊張關係很簡單:更多投資並不會自動轉化為更明確的成果、減少事故發生或董事會的信心。
提高預算,結果卻停滯
對安全主管而言,這種脫節現象變得越來越難以忽視。根據亞太區另一份最近的報告,就算安全支出持續增加,過去的12個月,有91%的組織至少經歷一次網路安全事件,53%則遭遇多次。
同時間,45%的亞太區資訊長承認,他們在一些並非完全需要或完全使用的工具上投入過多資金。這不是指責安全團隊或策略。它反映一個現實環境—威脅快速演變、工具層出不窮,而成功難以用簡單術語定義。
從資安長角度來看,挑戰較少在於預算規模而更多在於效率:每花一塊錢究竟降低多少曝險?
為何董事會與財務長仍不相信
董事會與財務長不是質疑網路安全的重要性。他們質疑的是其投資報酬率。
不同於傳統資本投資,網路安全成果是機率性的。避免資料外洩、更快的偵測時間,以及縮小破壞範圍,都很少明確地在資產負債表顯現。安全團隊常用的指標(比如工具覆蓋率或警報數量)無法自然轉化成財務風險的語言。
因此,很多資安長發現自己在報告事件的發生而非事件的衝擊。當預算增加,但事故仍然持續,就演變為難以解釋組織究竟是變得更有韌性或只是變得更複雜。
技術績效與經營表現之間的落差如今是亞太區網路安全策略的核心問題。
亞太區的現實:同樣的壓力,不同的處境
雖然該區內投資報酬率是一致的,但其具體表現形式則因市場而異。
在澳洲,監理壓力與董事會問責制使得網路安全支出在管理階層更為透明。資安長受到越來越高的期待展現投資如何能與降低風險及營運韌性對齊,不只是遵循而已。
在新加坡,安全成熟度一般來講更高,對話已轉向效率以及在經常性成本與資源限制下,現有的安全模型是否可持續應用。董事會想要確信現有的投資得到最佳化,尤其是當整個企業都在嚴格要求成本紀律。
在印度,採用企業規模層級的網路安全正加快速度。隨著安全成為重要的成本中心而非權衡性的支出,高階領導人對於優先順序與價值問得更早且問得更細。
就這三個市場來看,共同的主題不是投資不足。它們需要的是更明確的理由。
對亞太區資訊長與資安長的意義
亞太區網路安全對話正日趨成熟。資訊長與資安長發現自己當前要回答的核心問題是:「這個支出說得過去嗎?有效嗎?與企業實際面對的風險相符嗎?」
這種轉變要求對安全價值界定不同的範圍。這種轉變把技術成果與企業曝險、容忍力與韌性連結起來。這也需要更清楚的定義—投資到哪裡正確切地改善安全態勢,以及投資到哪裡可能增加成本卻沒有相對應的效益?
這並非關乎做得更多。它關乎的是能夠自信地解釋組織獲得什麼成果以及為何現在它至關重要。
資料來源:https://www.techrepublic.com/article/cybersecurity-roi-in-apac/
(2)日益升高的工作範圍壓力下,高階管理層的資安長頭銜大增
Security Brief 在2026年 1月 17日報導了IANS與Artico Search公布的《2026年資安長狀態基準報告》(2026 State of the CISO Benchmark Report),發現具高階經理人頭銜的資安長,現在為資訊安全領導這個職位的大多數。
該報告是按不同產業與組織規模的662位資安長回覆所撰寫的。其指出了公司層級資安長角色、以及報告結構裡定位之轉變。
在大公司,高階領導層的比例從2023年的33%升至2025年的47%。該報告指出,大型公開發行公司成長更為顯著。
IANS與Artico Search說,像資深副總裁、執行副總裁與資訊安全長之類的頭銜,現在象徵資訊安全領導層級的多元性。報告也說,由於在很多組織網路安全成為董事會層級的問題,故對於資安長的期待更廣。
報告關係
該報告說,報告結構仍將大多數資安長列在資訊科技領導人之下,不過有相當少的一部份現在會向非資訊科技部門報告。報告發現,有64%的資安長現在會向資訊科技領導人報告,同時有36%會向企業領導人報告(比如執行長、營運長、總法律顧問或者風險長)。
根據報告,高階管理層的資安長更可能會向非資訊科技部門報告,而非具副總裁或董事頭銜者的同儕報告。報告將此視為:組織在網路風險及監督責任分配上更廣的轉變。
報告發現提出之際,董事會與高階經理人正在評估其他企業風險之外的網路暴險。該報告將這些期待連結到安全主管參與法律、風險、營運及其他部門之需求。
工作範圍壓力
報告也強調:責任擴大與可用資源之間的落差。超過一半受訪者(52%)說,他們不再能完全掌控其工作範圍。
報告說,小組織以及那些安全團隊較簡略的產業,壓力程度最大。還說資安長警告—這些不平衡會使策略措施延遲,並讓團隊在安全運作處於被動。
該報告將此問題視為管理挑戰與治理問題。縱使預算與人員仍然吃緊,但工作範圍的擴大伴隨著安全主管的責任和期待都在升高。
職業移動
關於職業發展路徑,該報告說,資安長現在顯現出在各組織、各產業之間高度的移動性。報告發現,受訪者說平均任期是九年,很多在多個組織、多個產業之間擔任過資安長。
報告也發現,有將近七成的資安長未來一年可能有職業上的移動。報告說,這些舉措包含轉進更大組織、不同的產業,或者相近的高階領導職。
求職者與雇主都密切關注更替趨勢,原因是眾多產業的高階安全主管的需求仍相當的高。報告顯示頭銜、工作範圍以及報告結構,會構成資安長如何評估這個職位的條件。
IANS講師、Artico Search網路業務合夥人Steve Martano說,市場一直在找能在高階管理層營運、有經驗的領導人。
Martano說,「對有經驗資安長的需求仍然頗強,因為這個職位變得越來越複雜且更偏『管理』。瞭解組織如何定義工作範圍、報告結構以及進入領導層之管道和能見度,對於規劃下一步的資安長,以及對於想要聘僱或留住安全主管的公司而言,都很重要。」
本研究是根據IANS與Artico Search第六份年度《資安長薪酬與預算研究》(CISO Compensation and Budget Research Study),其資料是在2025年四月至十一月之間蒐集的。
資料來源:https://securitybrief.com.au/story/executive-level-ciso-titles-surge-amid-rising-scope-strain
(3)Willis調查:網路攻擊在董事風險順序的地位下降
Willis是WTW的事業體,最近提出了Cyber Directors’ and Officers’ Survey Report,顯示網路攻擊的優先排行在2024至2025年間下滑2%,即使組織說他們的準備度與因應能力有改善。
該調查蒐集了多個產業,服務業公司佔比為24%、金融保險業佔比19%。有超過一半的受訪組織是非營利與私有公司,針對網路風險管理在不同的經營結構裡如何演變,提供了看法。
資料裡也出現了風險認知的區域差異。英國是唯一個將網路攻擊(不含網路勒索)視為董事與高階主管責任的。北美與中東則視資料流失為重大問題,突顯地域因素如何影響網路風險評估之優先順序。
董事會層級的網路安全報導,在過去一年有相當的轉變。只會在事件發生後才向董事會更新其網路安全的公司,從2024年的20%降至2025年的12%。會每個月向董事會更新網路安全資訊的公司,從18%升至28%。
報告頻率之轉變,和組織在網路風險管理上更廣泛的轉變一致。受訪者指出,高階主管以外領導層的參與度有升高,顯示組織認識到:在網路風險管理流程上,需要向策略及技術類的利害關係人議合。
調查資料顯示,有80%的受訪者有落實網路事件因應回應計畫。超過三分之二的組織在過去12個月已做過事件因應作業。報告發現,顯示積極測試和強化因應能力。
受訪組織的準備程度也有進步。在2025年間,65%的受訪者說,覺得有準備好能有效管理網路事件,而2024年為56%。信心的增加,與受訪者表示的事件因應規劃、測試活動之擴大一致。
網路安全預算還持續增加,儘管較前一年腳步有減緩。2025年有56%的受訪者指出,網路安全預算有增加,而2024年為63%
網路保險仍是風險管理策略的重要一部份。超過一半的受訪者(53%)有投保網路保險。另外有18%說,他們計畫要在未來兩年內購買網路保險,顯示持續認識到保險是轉嫁風險的機制。
受訪者將網路安全風險視為:董事與高階主管責任保險內最重要的一部份。此修正順序反映了:網路風險之考量要整合進更廣的公司治理與責任架構。
關鍵要點:
*網路攻擊風險排行在2024至2025年見下滑2%,儘管在眾多產業持續出現飽受注目的事件,進而影響董事和高階主管的認知。
*每個月向董事會更新一次網路安全資訊的組織比例,從18%升至28%,而在事件發生後才報告的比率,從20%降至12%。
*組織準備水準從56%升至65%,而有80%會落實事件因應計畫,以及有三分之二會在12個月裡完成因應作業。
資料來源:https://cybermagazine.com/news/willis-survey-cyber-attacks-drop-in-director-risk-rankings
沒有留言:
張貼留言