搜尋此網誌

Translate

2026年7月19日 星期日

網路安全是企業風險,不只是科技挑戰-2026/07/19

這一篇"Cybersecurity is a business risk and not just technology challenge"是由Arun Shankar所撰寫、2023年12月25日刊載於Intelligent CIO。以下分享一些要點。

對網路風險及網路安全的普遍擔憂,讓監理機關加強關注。美國在2002年就有Data privacy and breach notification laws。而其他地區還有更嚴格的法律,比歐盟在2016年實施的General Data Protection Regulation(GDPR)、還有2018年的 California Consumer Privacy Act。此外,美國SEC最近也採行了網路安全揭露要求,明示網路安全不只是資訊科技問題,而是公司更廣的風險管理結構裡不可或缺的一環。

這些法規都要求上市公司:要報導重大網路安全事故,並揭露其網路安全風險管理策略及治理,以有效地將網路安全治理之責,從資安長或資訊長身上轉移到董事會。

在監理機關提高遵循要求下,有效的網路風險及網路安全治理計畫,就必須在董事會層級落實,並包含董事會與關鍵高階經理人的議合—比如對資訊長、執行長、財務長及資安長。

為達成此目的,董事會就必須展現其專長與監督,以確保具備適當的領導及策略,來適當管理組織內的網路風險。高階領導層必須參與網路風險治理,以確保整個公司的治理符合整體公司的目標。

無論組織的結構,公司最高層都有責任要瞭解及監督足以影響組織的網路威脅。他們需要監督適當減緩風險所需的策略政策與程序,並確保具備因應計畫以抑制受破壞的影響。

他們也需要有系統以偵測、調查及阻擋入侵,並遵循契約、法律及監理的要求。一旦高階領導層就位,網路風險治理計畫就需要持續的公司業務營運評估。

這些網路風險評估,可協助辨識出網路安全的企業風險,以及在危機來臨前組織的網路安全落差和弱點。

取得資訊安全認證,對於保護資料、並向顧客及投資人保證組織準備成熟能防禦變化中的網路威脅,都是很重要的。

管理階層支持政策及程序、並從高層定調,對促進採用足以保護公司關鍵資產的新工具與行為,是很重要的。

花時間去定義與教育網路安全政策及目標,會協助確保整個組織瞭解安全控制的目的,以及能正確、持續地使用。此政策不是一份靜態的文件,而需要定期更新,以反應變化中的企業安全及網路威脅之局勢。

Fortinet的2023 Security Awareness and Training Global Research Brief此研究顯示,有81%的組織在去年都有遇到勒索軟體、網路釣魚及密碼攻擊。研究也顯示,有超過90%的領導人相信:提高員工的網路安全意識,有助於降低網路攻擊的發生。

領導性的組織,會落實健全的網路安全意識訓練、要求軟體開發商精通安全碼開發實務,以及透過模擬的釣魚活動、桌上演習以評估事故回應,以及落實健全的威脅搜索作法,定期檢驗員工偵測網路威脅的準備程度。

發展一個網路安全文化需要時間,但組織所有層級的積極參與,會有助於確保所有員工都瞭解:他們在組織防禦網路威脅上的重要角色。有效訓練,會協助使用者在減緩風險及補救上更主動積極。成熟的網路安全文化,會帶動更有韌性的組織,免得公司因醜聞上頭條。

有鑑於網路風險對企業韌性之影響,以及在公私部門的監理要求越來越高,對組織而言現在重要的是:展現他們有明確的監督、流程與程序,能預防、偵測及因應網路威脅。

資料來源:https://www.intelligentcio.com/me/2023/12/25/cybersecurity-is-a-business-risk-and-not-just-technology-challenge/


沒有留言:

張貼留言

網路安全是企業風險,不只是科技挑戰-2026/07/19

這一篇"Cybersecurity is a business risk and not just technology challenge"是由Arun Shankar所撰寫、2023年12月25日刊載於Intelligent CIO。以下分享一些要點。 對...

網誌存檔