PWC專家建議企業資安從落實4Ps著手
科技產業資訊室 (iKnow) - May 發表於 2021年12月20日
圖、PWC專家建議企業資安從落實4Ps著手
全球資安事件頻傳,資誠PWC調查發現大多數企業沒有意識到第三方資訊洩露帶來的威脅與日俱增,甚至為求快或拒絕改變,經常忽略幾個資安漏洞,建議政府或企業從落實建立4Ps(Principle, People, Prioritisation, Perception),加強內部資訊安全措施,保護機敏資料,審視並簡化非必要流程,提升資安能力。
根據資誠2022 Global Digital Trust Insights Survey調查,訪問全球10億美元以上企業的700名CEO和2900名其他C-Suite(高層)主管的意見,發現:
- 大多數企業沒有意識到第三方資訊洩露帶來的威脅與日俱增,60%的受訪者對第三方資訊洩露風險的了解程度不夠透徹,
- 20%的受訪者對這些風險知之甚少或根本不了解。
- 56%的受訪者預期,透過其軟體供應商的違規行為會增加,但只有34%的受訪者正式評估其企業正面臨這種風險,
- 同時,58%的受訪者預期其雲端服務受到的攻擊將大幅增加,但只有37%的受訪者透過正式評估來了解雲端風險。
甚至,企業為求快或拒絕改變,經常忽略幾個資安漏洞,例如運用過多不相容的數位解決方案、不依據第三方風險管理整合不同屬性的工作、不設計或不堅持資料治理流程、不運用商業語言談論資訊安全等。
從受訪的全球資安布局進步最快的前10%企業皆落實建立4Ps:
首先是制定清楚原則(Principle),避免缺乏資訊安全風險地圖的規劃、資訊安全與資料治理未能整合、資訊安全由資訊部門負責等錯誤,並應任命並信任首席資訊安全長(CISO)。
其次是雇用合適的CISO與團隊(People),資安團隊除了時時更新資安知識與解決方案之外,與組織內部溝通宣導之流暢度更是重點,才能真正理解組織資安需求或弱點。此外,重資安忽略資料治理的資料安全規劃,是企業常犯的第四種錯誤,企業應特別注意。
第三是優先資安風險管理(Prioritisation),提早建立data資料治理制度並善用智慧科技衡量做好管理風險,就能早期發現網路流量稍有異常時即能處置,降低傷害。
最後是找出盲點(Perception),並建立「第三方資安風險辦公室」,控管第三方資料的運用,降低外部廠商人員誤傳資料的機率。(753字;圖1)
參考資料:
2022 Global Digital Trust Insights Survey. PWC, 2021/12/16.
參考資料:
1. 5G企業專網在資安迷思與四個關鍵影響因素
2. 台積電:資安也是國安議題 供應鏈應具韌性
3. 趨勢科技:全球80%企業在未來一年內可能發生客戶資料外洩事件
4. Check Point:三重勒索、攻擊供應鏈及遠端網路攻擊持續增加
5. 白宮召開資安高峰會 各產業領袖承諾投入強化資安
6. 趨勢科技:駭客四重勒索台企尤以高科技製造業、擴及供應鏈上下游
--------------------------------------------------------------------------------------------------------------------------------------------
【聲明】
1.科技產業資訊室刊載此文不代表同意其說法或描述,僅為提供更多訊息,也不構成任何投資建議。
2.著作權所有,非經本網站書面授權同意不得將本文以任何形式修改、複製、儲存、傳播或轉載,本中心保留一切法律追訴權利。
|