合規與風險
讓高層買單資安風險管理策略
了解《2025 年趨勢科技資安人員調查報告》(Trend Micro Defenders Survey) 如何協助勾勒出清晰全貌,說明資安團隊如何讓高階主管認同並投入資安風險管理。
Save to Folio
過去幾年,網路資安在企業中的地位一直在不斷攀升,使得董事會也開始討論起企業的整體風險管理。這是因為企業的日常營運比以往更仰賴技術來運作,使得技術和業務風險變得密不可分。
那麼,企業需要什麼來管理這些風險? 針對這個問題,我們訪問了 3,000 多名資安專業人員,將他們的答案整理在我們的 2025 年「趨勢科技資安人員調查」(Trend Micro Defenders Survey) 報告當中。本文討論我們發現的一些重點來更清楚呈現資安團隊希望如何與高階主管合作以管理資安風險。
什麼才是最重要的?
網路資安團隊每天都在面對更多前所未有的威脅,這些威脅比以往更具適應力,而它們鎖定的目標環境也越來越複雜。因此,凡是認真看待資安風險管理的企業,都需要某種方法來讓他們優先處理真正重要的事。
我們詢問了今年的受訪者,什麼最能提升他們的判斷能力來優先處理最重要的資安風險,這些風險包括:漏洞、組態設定錯誤、曝險,以及違規情況。顯然,最多人回答 (25%) 的是:更清楚地掌握哪些資產最關鍵,以及哪些威脅對當下的企業情境最重要。
受訪者認為對他們有幫助的其他能力還有:更有效率的風險事件評估及分類方式 (16%)、取得即時的風險資料 (15%),以及更好的漏洞攻擊模式洞見 (15%)。
此外,研究發現也揭露了涵蓋範圍的缺口。有 10% 多一點的受訪者表示,如果有更完整的資產盤點就好了,另有 10% 表示他們仍缺乏一種全方位的檢視來查看網路資安工具所蒐集到的風險資料。
管理資安風險需要共通的語言
一旦釐清了風險的優先次序,就必須將這些資訊分享給企業高層知道,以便在策略層面上成為企業認知的一環。在很大程度上,這需要一點「翻譯」:使用商業用語而非技術專有名詞來表達風險。針對這點,資安人員表示,他們需要不同類型的資料,包括:即時的資安風險評分與指標,以及更好的量化能力來將資安風險轉化為潛在的財務衝擊。通常,對於掌管財務績效的高階主管來說,沒有什麼比金錢的數字更能讓他們有急迫感。
整份調查中,自動化的需求是一個受訪者反覆提到的議題,有趣的是,這帶出了改善風險溝通方式的必要。有 19% 的受訪者表示,自動化的合規追蹤與報表會有所幫助。
最後,精細度和明確性似乎也很重要。有 10% 多一點的受訪者表示,他們希望能有專門給個別業務單位使用的風險儀表板和報表。另有同樣比例的受訪者表示,如果可以跟同業和產業基準做比較,那他們就能了解自己在大環境下所處的狀況,這有助於他們管理資安風險。
讓利害關係人隨時掌握狀況
資安威脅所帶來的業務風險,有很大一部分是來自於喪失信譽。不僅是客戶,還有供應鏈合作夥伴、廠商、投資人,以及任何其他需仰賴企業有效管理資安風險以確保其自身安全的人。令人意外的是,這是我們今年的調查中發現最大的有待改善領域之一 (這也許不令人意外)。
僅有將近三分之一 (30%) 的受訪者表示,他們企業採取了一種結構化的持續溝通方式來讓利害關係人掌握資安事件的發生。有將近四分之一 (23%) 的受訪者表示,他們只會在事件發生之後或是基於合規要求才會進行溝通動作,這是一種被動的作法,有可能在嚴重問題發生時造成延遲或落差。另有 20% 表示,他們通常只分享最低限度或視情況而定的更新資訊,而這有可能削弱利害關係人的信任。
但最令人擔憂的也許是:有 5% 的受訪者表示,他們其實不知道其所屬機構採用何種資安事件溝通方式。
管理資安風險需要集合大家的力量
隨著資安風險越來越融入企業的整體風險管理,企業上下階層與橫向業務單位之間的明確溝通及合作,將變得更加重要。除了上面點出的能力之外,這種「全體共同參與」的作法也應延伸至其他活動,例如:教育訓練、合規程序,甚至是判斷何時該尋求資安合作夥伴的協助。
如需完整內容,立即下載這份 2025 年趨勢科技資安人員調查報告。
下一步
請參閱以下其他文章來進一步了解如何管理雲端風險: