台灣新春開年便發生證券業遭DDoS攻擊的重大資安事件,然而根據IDC最新的研究結果顯示,台灣企業面臨的資安挑戰在亞太區可能並不孤單:高達84%的亞太區(除日本外)的企業採行的資安策略,僅符合該組織成熟模型的最低標準。
IDC亞洲資安實務副總裁Simon Piff表示,亞太區企業在成熟模型上普遍表現不佳的狀況不難想像,與區域內國家的資安相關法規現狀有直接關聯,但駭客攻擊基本上與各國資安法規無關,加上新的攻擊手法更容易讓受害企業產生財務損失,他建議各國企業在資安防護上,不應該只以法規遵循為主要方向。
IDC將資安成熟度由低至高分成單點型(Ad Hoc)、回應型(Opportunistic)、法規遵循型(Repeatable)、主動合作型(Managed),以及風險預測最佳化(Optimized)等五大類型(下圖所示,來源:IDC),根據IDC調查的800多家亞太區企業,發現高達43.8%的企業屬於最不成熟的單點型,僅部署最基本的資安防護,且缺乏專職的資安人員;此外有40.2%的企業落在回應型,配備專責資安人員,但多半仍仰賴外部資源,且資安配置以法規要求的範圍為限,並未具備清楚的防護架構與內部風險評估機制。落在這兩個被IDC視為僅及於成熟度底線的企業,合計佔比高達84%。
IDC表示,綜觀全球,資安管理問題主要都環繞在人員與安全技術兩大挑戰,但在亞太區,缺乏專責的專業資安人力是一大問題,許多企業仍將資安列為IT部門的部分責任,甚至讓資訊長(CIO)主掌資安事務,凸顯出企業對於安全威脅本質的不了解。此外,在採用的科技方面,亞太區企業普遍仍專注在防衛邊界安全,但隨著雲端運算與行動裝置的普及,資安業界早已經普遍認可100%的邊界防衛已經是不可能的任務,必須採行不同的策略,方可有效降低風險。
Piff建議,企業應該以風險管理角度來檢視內部的關鍵數位資產,並針對這些關鍵資產提供目標性的防護,同時不能再基於壞人一定在企業邊界之外的心態來部署防護,而必須持續監控,以因應真實環境的動態變化。