安全與隱私打造保護核心資產的安全防線

解讀〈企業駭客任務〉

打造保護核心資產的安全防線

資安事件頻傳,企業決策高層往往也稱資訊安全是管理優先要務,但為什麼大多數企業卻對資訊安全投資不足?台灣科技大學資訊管理學系特聘教授吳宗成,剖析台灣企業資安管理現況與迷思,並提出建言。
資安事件頻傳,企業決策高層往往也稱資訊安全是管理優先要務,但為什麼大多數企業卻對資訊安全投資不足?台灣科技大學資訊管理學系特聘教授吳宗成,針對本期〈管理新趨勢:企業駭客任務〉系列文章(請見〈打擊駭客三部曲〉、〈網路安全六大共識〉、〈員工是最佳防駭軟體〉),剖析台灣企業資安管理現況與迷思,並提出建言。以下為內容摘要:

如果畫出一條常態分布曲線,來看台灣資訊安全管理現況;曲線前端占總數10%~15%的組織,非常重視資訊安全,投入的資源與人力也很多。這些組織包括政府,以及具國際競爭力的大型企業,像鴻海、台積電等。而曲線中間占總數70%~80%的組織處於「雖然認為資訊安全很重要,但是投入嚴重不足」,台灣大多數企業都在這個位置;至於處於曲線末端的10%~15%的組織,是對如何保護資訊安全沒有概念的一群,很多規模更小的中小企業處在這端。

為什麼會有70%~80%的高比例台灣企業,對資訊安全投資嚴重不足?有兩種關鍵因素:第一,節省成本的心態,企業認為資訊安全費用太高;第二,企業對於資訊安全一旦出現漏洞,可能會造成的損失,認識不夠。

觀念釐清1.資安作為核心資產的保險


組織在決定要投入多少資源在資訊安全管理上