管理錦囊/資訊揭露 強化資安韌性
AI示意圖。 路透
面對資訊量爆炸、AI技術一日千里的當代,企業高層在擘劃發展策略時,耗費較以往更多的腦力和經費,想方設法躲避新科技導入後,難以忽視的環境風險。依據世界經濟論壇(WEF)全球風險報告,影響全球發展的十大風險中,「假訊息與錯誤訊息」、 「網路犯罪與安全危機」皆榜上有名,也意味着資安的潛在危機不可忽視。
因此,資安爲未來企業永續方展的關鍵指標之一。透明化的內部組織以及公開其營運狀態,不僅是在社會和政策面落實企業責任以及法規要求,也能將「資訊揭露」發展成爲平衡環境風險及永續發展的最佳解。
此舉有助於透過資訊共享降低確認訊息真僞的困難度,使整個產業因此得利。企業本身也能建立外部利益關係人的信任感,從而提高聲譽並吸引更多夥伴投資;內部管理上則得以提高溝通效率並節約成本,在產業中也更有競爭力。
主動的揭露資訊以識別資安風險,亦是臺灣政府推動的重點。今年5月,臺灣證券交易所、金管會、櫃買中心等,陸續擴大對於資安事件的揭露標準。明定企業須公開資安事件程序,主動揭示組織曝險、並幫助產官學夥伴共同抵禦潛在資安危機,逐漸轉變爲必要的企業責任。
政府近期強調的資安韌性,不僅是國家維度的重要方針,也應是企業的發展重心。從設立資安長、資安單位、專責的資安人員開始,使組織內部有完善的資安管理架構。管理者與執行者也可強化內部交流,以透明化資安策略規劃和執行能力,避免資訊不對等造成的時間成本。
此外,資安產品的多樣化,反而可能使企業無法及時掌握資安威脅全貌、採取最適合的防禦策略。在資訊揭露的趨勢下,一致性的整合型資安管理平臺可以在管理上達到整合、自動化、和降低管理成本的目的,更能提高可視性、落實一致的安全管理政策,並減少組織資安技能落差所帶來的影響。
在網路安全的鬥智場上,美國政府也積極提倡具體實踐將運作透明化。美國網路安全暨基礎設施安全局近期即推廣「安全納入設計(Secure by Design)」原則,號召軟體制造商擁抱透明度和問責制,並在設計產品時即將安全風險作爲必要考量,而非在產品完成後才另行規劃。
企業在面對資安風險時也可採納更嚴格的產品安全審查,並支持負責任產品開發的資安公司服務,一同建立階段性目標,更紮實的推廣和實踐公開透明文化。
擊破伺機而動的環境風險,並非全無解方。企業須依靠自身的步步踏實,足以凌駕於全球風險的蔓延。若以資訊揭露強化資安韌性,企業組織皆能成爲網路安全防護網的守門員。
透過向全球資安趨勢看齊的視野、應變多端風險威脅的韌性、攜手和衷共濟的協作夥伴,在資安風險的壟罩下,企業將有充足資安量能適應不斷變化的情勢,亦是突破風險重圍的唯一應對之道。