ESG 研究指出資訊保安未獲充分重視

香港 - Media OutReach - 2021年1月29日 - 全球雲端保安方案領導廠商趨勢科技（東京證券交易所股票代碼：4704）委託研究機構 Enterprise Strategy Group（ESG）進行的「領導層與董事局眼中的網絡資訊保安」調查報告 [1] 指出，目前資訊保安與商業流程整合存在著系統性挑戰，並提出在機構內推動網絡保安策略的參與度與共識的最佳途徑。

這份針對北美及歐洲中大型企業的研究發現，僅有 23% 的企業會將資訊保安與關鍵商業計劃的配合列為優先項目。為解決這項核心挑戰，報告提出三點建議：

1. 增加一個「業務資訊保安長」（BISO）職位來改善業務與資訊保安之間的配合。
2. 成立一個由上而下的可量化計劃來協助資訊保安長（CISO）改善與董事局的溝通。
3. 改變組織結構，讓 CISO 直接對執行長（CEO）匯報。

此外，研究也發現當董事局成員更了解及更投入於資訊保安時，就會開始進行更深入研究以了解核心問題。他們亦更有可能跳出技術層面，從業務方向思考問題。

絕大多數受訪者（82%）表示，由於威脅不斷增加，企業受攻擊面亦逐漸擴大，再加上企業流程越來越依賴科技，過去兩年的網絡資訊保安風險已大為提高。然而，儘管企業在過去一年已加快了數碼轉型步伐，但仍有受訪者認為資訊保安大部分屬於（41%）或完全屬於（21%）技術的範疇。

資訊威脅防護未獲重視的情況在董事局內尤其明顯，儘管有 85% 的受訪者聲稱現任董事已經比兩年前更多參與資訊保安決策及制定策略，但這些高層人員通常只會在企業發生資訊保安事故、出現新的法規要求或是因為 CISO 制定了一項資訊保安計劃才被動參與。

事實上，44% 受訪者表示，他們的董事不大參與大部份的關鍵資訊保安營運。這意味著許多董事都只願意提供最少的資金來達成法規與資訊保安的基本要求。

趨勢科技網絡資訊保安長 Ed Cabrera 表示：「坦白說，在今日網絡資訊保安風險的情勢下，只求夠用的資訊保安防護顯然是不足夠的。這報告真實反映了之前與許多 CISO 的對話，凸顯董事局投入程度不足可能導致企業整體資訊保安狀態欠佳，令資訊保安無法與商業流程有效整合。唯有執行長和企業董事以身作則，才能讓企業培養出資訊保安文化，讓每位員工知道自己在保護企業中也扮演著不可或缺的角色。」

詳情請參閱報告「Cybersecurity in the C-suite and Boardroom」：https://resources.trendmicro.com/rs/945-CXD-062/images/ESG-eBook-TrendMicro-Cyber-C-Suite-Boardroom-Dec2020.pdf