96%的董事成員認為企業花在資安預算比例不夠
2018年8月8日 台北 –全球企業遭受大規模病毒突襲事件頻傳,往往一日內造成數十億損失,與今年韋萊韜悅 (Willis Towers Watson, NASDAQ:WLTW) 與英國經濟學人智庫 (Economist Intelligence Unit, EIU) 共同發表最新的資安研究調查報告:「解構企業資安應變力」(Decode resiliency: How boards can lead the cyber-resilient organization)結果,不謀而合。本調查針對全球超過450個大型企業高階主管進行研究調查,以了解企業對資安風險的認知與應對策略。調查發現,被問及其企業是否有能力將資安事件中得到的經驗發展為策略,只有13%受訪者認為其企業擁有平均之上的能力。
在十大資安能力自評項目中〈圖一〉,受訪企業認為已具備的前三大能力為:評估與量化風險、評估資安風險文化,資安技術與治理之整合;反之,受訪企業自認最缺乏的三大能力為:從資安事件中學到教訓、填補資安人才短缺,以及培養職場的資安能力。
令人驚訝的是,自評分數5 分為「優於平均」〈well above average〉,但上述的分數大部分都落在3至4分之間,顯示高階主管們對於其企業所具備的整體資安能力評價並不理想。
 |
 |
|
|
圖一: Average self-assessment on a scale 1 to 5 |
圖二: The % of respondents who employ the following policies |
本調查同時發現,許多基本的企業資安政策,竟只有少於半數企業有在推動落實,尤其是從人力資源面向來看。從組織資安政策的調查項目中〈圖二〉,受訪者表示其企業有在執行的前三名為:持續性資安認知訓練〈44%〉、辨識內部IT及網路安全人才及技能短缺程度〈44%〉、企業永續營運計畫〈40%〉;倒數三名則為:行為獎勵〈30%〉、資安事件後變革管理〈32%〉與資安事件後職能規劃〈37%〉。
「資安其實是從策略到文化的體質問題,」韋萊韜悅企業風險總經理閻治中表示。「企業不可能靠『築夠厚的牆』來擋掉所有病毒或駭客攻擊,而企業資安課題也絕不是 IT 部門能獨立支撐的責任,與整個企業息息相關,需要跨部門協同合作。正因為如此,企業應該及早積極部署,降低風險、風險移轉,以及做好準備,當資安危機事件發生時,企業得以在最短時間內有效因應。」
本次調查為英國經濟學人智庫與韋萊韜悅共同發表,調查對象為452位來自全球大型企業高階主管,半數為總經理、企業主或董事會成員。另一半為總監或其他C等級的主管。這些公司規模從一億元到兩百五十億美金。參與調查者橫跨各個產業,主要為製造與科技〈分別為12%〉、零售與建築業╱房地產〈分別為10%〉、金融業〈9%〉。三分之一公司位於北美,三分之一在亞洲,另外三分之一在歐洲。
韋萊韜悅 (Willis Towers Watson, NASDAQ:WLTW) 是全球領先的專業顧問諮詢、保險經紀、風險管理以及提供解決方案的公司,我們幫助全球客戶化風險為成長的途徑。目前在140多個國家設有據點,擁有超過40,000名的員工。在台灣,我們針對企業在風險管理、福利最適化、人才培育等領域擁有豐富的諮詢經驗、頂尖的顧問團隊與深入的產業知識,在人才、資產與創新想法的交集點上提供獨到的見解,協助客戶提升績效、實現營運目標。
