過往除了政府、金融及電信等特定產業,企業對於資安的投資相對保守。隨著上市櫃公司指引的修正將規範逐步擴大到各級產業,加上各種勒索攻擊等事件頻傳,大型企業尤其電子製造業,對資安風險的重視與需求也明顯上升。
法規驅動資安投資升溫,供應鏈數位化的資安缺口引關注
成立於 2004 年的數聯資安,擁有全台首座企業級資安監控中心(SOC),2009 年成為遠傳 100% 子公司後,整合集團豐富資通訊網路資源,提供專業資安監控、檢測、治理等解決方案及顧問服務,成為企業數位轉型路上最可信賴的資安夥伴。
數聯資安總經理李明憲觀察,近來企業關注的供應鏈資安議題主要有兩個面向,一個是從技術面去應對供應鏈上下游數位化串聯所形成的間接攻擊威脅,以及軟體開發來源是否被內植惡意軟體而形成的資安缺口;加上疫情以來大量遠距工作引發的資安風險,「零信任(Zero Trust)架構概念」也受到更多產業的重視。
資安長首重理解企業商業價值,從管理面完善風險排序與資源配置
另一個面向則是管理面,去年底金管會公告要求 111 家第一級上市公司設置資安長與專責人員,並且對資訊資產盤點、資安管理制度的建立稽核等都有完整規範,帶動了企業的剛性需求,加上 ICT、半導體等供應鏈受到國際大廠客戶的要求,因此今年以來導入 ISMS 資訊安全管理制度 / ISO27001 認證受到高度詢問。
▲數聯資安擁有業界唯一通過 ISO 三項認證的 SOC 中心,以及第一套國人自行研發的資安管理系統。(圖片來源:遠傳)
李明憲建議,企業應洞悉資安指引背後的意義:資安就是風險管控,當資源有限,要找出最優先防護的重要資產,並每年重新盤點風險來源。例如企業因應疫情從實體通路轉進電子商務,當營運模式改變,資安的重點就應有所調整。
由此來看,企業如何找到合適的資安長?李明憲也建議,「技術純熟非首要考量,資安長應對企業的商業營運模式有充分理解,能據此定義風險來源並排序重要性,進而作資源配置和建立制度。」以製造業來說,重要資產可能在 OT 端,不在 IT 的管轄範圍,因此資安長要跳脫傳統 IT 的框架,從更高點來思考風險和資源配置。
破除迷思:資安非零和遊戲,未來靠 AI 大數據應對進化的風險
李明憲也提醒,過去的思維可能以為投入資安防護就不會發生事件,但進入到數位化與物聯網的時代,資安風險範圍太廣,佈防成本相對提高,因此最重要的還是損失要可控管。
隨著風險不斷進化,李明憲也期許數聯資安結合母公司遠傳的「大人物(大數據、人工智慧、物聯網)」策略,針對數量龐大的資安事件及告警,運用大數據的整合關聯分析,並透過AI機器學習來偵測異常行為,及早找到潛藏的風險和威脅來源,以差異化的解決方案,成為資安託管服務供應商的領導者。
- 免費諮詢資安服務:https://fetnet.tw/VNEGPx0KN6
- 了解更多遠傳資安服務:https://fetnet.tw/Nkowx50KN1
(首圖來源:遠傳;首圖圖說:數聯資安總經理李明憲,歷任遠傳電信企業暨國際事業群-產品暨資通訊方案管理處、企業客戶業務二處副總經理,新世紀資通產品行銷處副總經理,數位聯合電信產品管理處副總經理等;資料來源:遠傳)
科技新報粉絲團
加入好友
訂閱免費電子報
