以往除了政府、金融及电信等特定产业,企业对于安全的投资相对保守。随着上市柜公司指引的修正将规范逐步扩大到各级产业,加上各种勒索攻击等事件频传,大型企业尤其电子制造业,对安全风险的重视与需求也明显上升。
法规驱动安全投资升温,供应链数字化的安全缺口引关注
成立于2004年的数联安全,拥有全台首座企业级安全监控中心(SOC),2009年成为远传100%子公司后,集成集团丰富通信网络资源,提供专业安全监控、检测、治理等解决方案及顾问服务,成为企业数字转型路上最可信赖的安全伙伴。
数联安全总经理李明宪观察,近来企业关注的供应链安全议题主要有两个方面,一个是从技术面去应对供应链上下游数字化串联所形成的间接攻击威胁,以及软件开发来源是否被内植恶意软件而形成的安全缺口;加上疫情以来大量远程工作引发的安全风险,“零信任(Zero Trust)架构概念”也受到更多产业的重视。
首席安全官首重理解企业商业价值,从管理面完善风险排序与资源配置
另一个方面则是管理面,去年底金管会公告要求111家第一级上市公司设置首席安全官与专责人员,并且对资讯资产盘点、安全管理制度的创建审核等都有完整规范,带动了企业的刚性需求,加上ICT、半导体等供应链受到国际大厂客户的要求,因此今年以来导入ISMS资讯安全管理制度/ISO27001认证受到高度询问。
数联安全拥有业界唯一通过ISO三项认证的SOC中心,以及第一套本土自行研发的安全管理系统。(图片来源:远传)
李明宪建议,企业应洞悉安全指引背后的意义:安全就是风险管控,当资源有限,要找出最优先防护的重要资产,并每年重新盘点风险来源。例如企业应对疫情从实体渠道转换电子商务,当运营模式改变,安全的重点就应有所调整。
由此来看,企业如何找到合适的首席安全官?李明宪也建议,“技术纯熟非首要考量,首席安全官应对企业的商业运营模式有充分理解,能据此定义风险来源并排序重要性,进而作资源配置和创建制度。”以制造业来说,重要资产可能在OT端,不在IT的管辖范围,因此首席安全官要跳脱传统IT的框架,从更高点来思考风险和资源配置。
破除偏见:安全非零和游戏,未来靠AI大数据应对进化的风险
李明宪也提醒,过去的思维可能以为投入安全防护就不会发生事件,但进入到数字化与物联网的时代,安全风险范围太广,布防成本相对提高,因此最重要的还是损失要可管控。
随着风险不断进化,李明宪也期盼数联安全结合母公司远传的“大人物(大数据、人工智能、物联网)”策略,针对数量庞大的安全事件及告警,运用大数据的集成关联分析,并通过AI机器学习来侦测异常行为,尽早找到潜藏的风险和威胁来源,以差异化的解决方案,成为安全托管服务供应商的领导者。
(首图来源:远传;首图图说:数联安全总经理李明宪,历任远传电信企业暨国际业务群-产品暨通信方案管理处、企业客户业务二处副总经理,新世纪资通产品营销处副总经理,数字联合电信产品管理处副总经理等;数据源:远传)