合規與風險
企業年均花費 13.5萬美元買束之高閣軟體 !資安長需知的2023 年網路資安三大非技術性趨勢
強而有力的網路資安策略不是光靠挑選適當工具就行,網路資安專家 Greg Young 和 William Malik 點出了 2023 年網路資安的三大非技術性趨勢來協助企業資安領導人降低整體受攻擊面的風險。
網路資安牽涉的不單只有技術,一些非技術性層面,例如:人員、流程與技術的管理,對於改善企業資安狀況、降低資安風險也同樣重要,只可惜這方面經常被人忽略。為了協助資安長 (CISO) 與資安領導人針對 2023 年預做準備,以下分享網路資安的三大非技術性趨勢。
網路資安趨勢 #1:管理束之高閣的資安軟體將成為關鍵
還記得您廚房那個塞滿各種漂亮工具的抽屜嗎?這些都是您曾經發誓絕對需要的工具。IT 部門也是如此,只不過 IT 部門塞滿的不是蘋果去核器這類工具,而是各種束之高閣的軟體。根據 SaaS 軟體採購服務公司 Vendr 的調查,企業每年大約浪費了 135,000 美元在一些不是真正需要或用到的 SaasS 工具上。此外,一份 2020 年的 Gartner 調查也指出,80% 的受訪者有大約 1% 至 49% 的 SaaS 訂閱沒有用到。
軟體被束之高閣的原因有許多,包括:整合問題、部門之間溝通不良、廠商支援做得不好,或是資安長 (CISO) 換人。
不論什麼原因,2023 年資安長( CISO )都必須特別注意這類軟體的管理,因為經濟的因素會迫使企業高層 (C-suite) 提出一些尖銳問題並想盡辦法從各方面樽節開銷。所以,您如果能將一些沒用到的 SaaS 訂閱省下來,就能避免人員被裁撤。
您可透過以下三個步驟來避免購買一些用不到的軟體:
1. 重質不重量:捨棄使用單一面向產品來解決問題,從更大的角度進行全方位思考:您是單純的電子郵件問題,還是您的整體受攻擊面可視性不足。一旦找出您資安真正的挑戰範圍和規模,接下來就能執行全盤的技術評估,確保您的解決方案能滿足您今日及明日的需求。
2. 讓關鍵的利害關係人參與採購流程:從資安人員到軟體開發人員,請務必在採購之前完整蒐集業務面與使用者需求,讓預算發揮最大效用。如此才能確實達到業務要求,提高使用率並加速普及。
3. 想好導入計畫:有些只想賺錢的廠商會在您簽約之後就消失無蹤,您得自己想辦法部署和使用他們的產品。所以在採購之前,您務必跟廠商詢問他們的產品包含了哪些教育訓練、導入協助以及後續支援。資安人才短缺向來是個問題,所以對於資源有限的團隊來說,產品是否容易導入和使用就相當重要。
網路資安趨勢 #2:網路資安人才短缺的壓力將持續下去
雖然網路資安人才短缺的問題已開始慢慢緩解,但企業還是苦於人員流動率的問題。根據一份 ISACA 的調查指出,60% 的企業都留不住有能力的資安專業人員,有超過半數表示其人員「略為」或「嚴重」不足。找到並留住手上的優秀人才是一項挑戰,再加上荷包越來越緊,企業能用來聘僱人才的經費就只有這麼多。為了防止自己的 IT 部門成為人才的跳板,資安長( CISO ) 必須解決企業文化的問題。
您不妨問問自己:除了薪資之外,我還有什麼可以吸引資深分析師為我工作?ISACA 發現,除了薪資之外,網路資安專業人才離職的三大原因分別是:晉升或發展機會有限、高工作壓力、無法獲得管理階層的支持。
除此之外,資安長( CISO )還必須知道,聘用新人意味著必須做出一些改變,而這需要一點彈性。不過一旦能聘用到好人才,就可以讓流程更有效率,進而解決當前的問題。如此一來,企業不但能改善資安,還能支援創新,這一點對於團隊士氣和留住高價值人才都有所幫助。
網路資安趨勢 #3:影子 IT 與 IT 零散的問題會讓資安長( CISO )被蒙在鼓裡
傳統單一集中式 IT 的時代已經過去。數位轉型、雲端加速普及、還有越來越多的遠距上班人口,讓分散式 IT 與影子 IT 大量湧現。一些連資安長( CISO )或採購部門都不知情且未經核准的 IT 採購 (如:影子雲端/SaaS、影子 OT 等等) 是企業日益嚴重的問題。高度分散的企業目前正面臨系統與資料分散於遠端、企業總部、雲端等等環境而難以保護的困境,這問題對旗下擁有多家獨立經營企業的控股公司來說尤其困難。單純地將未經核准的應用程式和裝置封鎖,並無法解決影子 IT 的問題,員工總是會找到方法來避開管制以便完成他們的工作,所以您幾乎不可能完全掌握該封鎖或開放什麼。
資安長( CISO ) 需要一種新的方法來解決這些日益嚴重的問題。除了建置適當技術之外,企業內部還必須建立一種強大的資安文化。熟悉企業的需要、疑慮、需求和習慣,有助於資安領導人以員工的語言來確保教育訓練的成效。
針對資深主管與管理高層的資安訓練,甚至比針對所有其他部門的訓練更加重要。您必須讓管理高層 (C-suite)、事業單位主管以及營業技術人員了解資安、資料隱私、法規遵循以及風險管理如何套用至 IT 環境,這樣他們才知道自己是否跨越了紅線,必須儘快聯絡 IT 人員。
下一步
如需有關資安風險管理的更多資訊,請參閱以下文章: