香港 - Media OutReach - 2021年11月16日 - 全球網絡保安方案領導廠商趨勢科技（東京證券交易所股票代碼：4704）發布最新資訊保安風險調查報告*，指出全球 90% 的 IT 決策者表示其企業願意為了達成創新、數碼轉型、提升生產力或其他目標而犧牲網絡資訊保安。此外，有 82% 表示感受壓力而須在向董事會匯報網絡風險時淡化其嚴重程度。

參考報告：https://www.trendmicro.com/explore/en_gb_trendmicro-global-risk-study。

趨勢科技英國技術總監 Bharat Mistry 指出：「IT 領導人在董事會面前都會作自我審查、避免過度重複或負面的訊息，幾乎有三分一受訪者認為自己無時無刻都感受到這股壓力。然而，這只會令領導層無法真正掌握公司的風險，反而讓情況不斷惡化，產生惡性循環。因此，我們必須採取新方式來詮釋風險，讓資訊保安變成驅動企業成長的基本動力，令 IT 和企業領導人能互相合作，畢竟他們都是為相同的目標而努力。」

Nuffield Health 的資訊安全與認證負責人 Phil Gough 表示：「IT決策者向董事會報告資訊保安風險狀況時，不能刻意淡化風險的嚴重性，他們或許應調整用字遣詞來加強雙方了解，並傳達正確的資訊。這是商業資訊保安策略溝通的第一步，也是最重要的一步。利用商業術語來闡述資訊保安風險可以成功得到高階管理層的關注，同時幫助他們認識到資訊安全是驅動商業發展的動能，而非企業創新的絆腳石。」

研究指出，全球僅有 50% 的 IT 領導人和 38% 的業務決策者認為公司的管理層充分了解資訊安全風險。有些受訪者認為這主要是因為資訊保安議題複雜且變化多端，亦有很多人認為是公司高層未特別嘗試了解（26%）或者甚至不想了解（20%）。

還有一點是，IT 和業務領導人對於誰該負起最終的風險管理與防範責任有著不同看法。IT 領導人較傾向將責任交予 IT 團隊和資訊保安長（CISO），比例幾乎是業務領導人的兩倍。49% 受訪者認為網絡保安風險仍是一項 IT 問題，而非商業風險。

這樣的摩擦造成了嚴重的潛在問題：52% 受訪者覺得其企業對於網絡保安風險的態度前後不一、每個月都在變。

目前全球近三分一（31%）的企業決策者認為，資訊安全是今日經營環境中最大的商業風險，有六成多（66%）認為這是所有商業風險中對成本衝擊最大的項目。但這數據似乎又跟企業願意犧牲資訊保安來成就其他目標的整體態度相矛盾。

整體來說，企業現今面對的最主要資訊安全問題，是資訊保安治理方向與實際落實存在重大落差鴻溝。對此，受訪者認為有三種方法可以讓高階管理層願意認真看待資訊安全風險：

• 62% 認為，企業需要發生資訊保安事件才會覺醒。
• 62% 認為，如果他們可以更容易報告或解釋資訊保安威脅所帶來的商業風險，將會有所幫助。
• 61% 表示，如果客戶開始要求企業採取更精密的安全認證機制，將會對資訊安全風險管理帶來影響。

Coillte 的企業安全架構師 Marc Walsh 表示：「要讓資訊安全成為董事會層面的議題，高階管理層必須將其視為真正的業務營運來推動。這將促使 IT 和資訊保安決策者以營運風險的角度向董事會闡明他們的挑戰，並需要請求董事會支持採行優先並積極的投資，而不是在發生問題時才採取急就章式的補救方案。」

*趨勢科技委託 Sapio Research 訪問了來自 26 個國家、員工人數超過 250 名的企業，共 5,321 名 IT 與業務決策者。