随着安全边界持续改变,所有的组织都必须转型成为具备“韧性”的组织。在经历疫情的冲击,BSI东北亚区总经理蒲树盛指出,2021年的诈骗短信超过56亿笔,平均每个人三天之内就会接到两通短信;而2022年则发现,台湾诈骗案件数量大幅攀升,若以排名前三名的台湾诈骗案件来看,分别是假网拍诈5,626件,投资诈骗4,891件,以及各类解除分期诈骗的ATM与网银骗汇4,281件,最特别的是投资诈骗,造成全台人们财损高达20亿6,484万元,财损金额更是历史新高。
诈骗横行也意味着“信任”成为稀有财,蒲树盛表示,数字信任是台湾社会面对的最大挑战,而数字信任若能结合ESG,就可以打造组织的韧性,“这不只是企业转型面临的压力,也可以是巨大的商机。”他说。
若以世界经济论坛(WEF)总结的全球风险报告来看,未来最可能发生的风险除了极端天气、气候行动失败、人为导致的环境破坏、生物多样性消失外,还包括数字力量集中、数字不平等、网络安全失效,以及科技治理失败;未来影响最大的风险则包括:传染病、气候行动失败、其他环境风险、大规模杀伤性武器、生计危机、债务危机,以及IT基础架构崩溃。
蒲树盛认为,不管是DDoS(分布式阻断式攻击)或是APT攻击等网络威胁,最终都会涉及到IT基础架构的稳定性,倘若面临关键基础设施服务中断的风险,甚至可能是战争爆发的缘起,例如俄罗斯在冬天入侵乌克兰的天然气系统。这时候,大者恒大的数字强权往往具备相对的优势。
政府为了提高组织的韧性,也着手塑造台湾企业环境的数字信任,蒲树盛援引金管会推动的《金融安全移动方案》为例,其中包含四大工作项目及十三个工作小项目,显见政府已经积极借由推动产业安全,进一步达到塑造企业的数字信任。
首先,在安全制度的项目上,最重要的措施包括:塑造金融机构重视安全的组织文化;完备安全规范;强化安全监理职能;以及加强金融安全检查。蒲树盛认为,这可以参考ISO 27001等相关的国际标准,作为产业推动安全及打造数字信任的基础。
其次,深化安全治理的工作项目上,主要是希望做到加强安全管理、强化安全监控,以及加强安全人才培育,这是提升企业领导力;第三,在精实安全韧性的工作项目上,最重要的是,增进运营持续管理量能、加强安全攻防演练、构建资料保全避风港(可参考美国安全港协议,并做到3份备份、存放在2种不同存储媒体,至少1个存放在异地,才可以达到零失误的备份原则)。蒲树盛说,这最主要的参考标准就是运营持续管理的ISO 22301,这也是美国911事件后,许多企业参考的自愿性规范。
最后,就是可以发挥安全联防F-ISAC的优势,不仅做到安全情报资料分享与合作,也可以创建金融安全事件应变体系,以及创建金融安全事件监控体,他认为,这是整个产业和企业的团队合作(Team work)成果。
蒲树盛笑说,许多企业都会导入ISO 27001安全认证,甚至可以说,台湾有许多企业的安全作为就是以ISO 27001为核心,这样的制度,广度够,但深度不够,加上各行业的属性与强度不一样,通过所展开的十个方面就是一个兼具广度和深度的安全生态系,其中也包含各种国际认证,能广泛满足各个产业的安全需求。
例如,治理、风险与法遵(Governance、Risk and Compliance)就可以参考ISO 27003、27004、27005、27014、27016以及ISO 31000;在网络安全与资讯安全(Cybersecurity and Information security)面向,也可以参考ISO 27003、27032、27103,以及BS 31111等标准。
其他可以构成安全生态圈的八个方面,也包括:资料保护(Data Protection)、第三方风险管理(Third Party Risk Management)、云计算(Cloud)、网络安全(Network Security)、应用程序安全(Application Security)、弱点管理(Vulnerability Management)、事件管理(Incident Management)和运营持续(Business Continuity),也同样有相关的国际标准可以参考。
除了数字信任外,现在随着气候变迁及各种新兴的法遵与规范,都要求企业必须在2030年做到净零排碳的目标,就是为了地球环境可以永续发展。
蒲树盛表示,台湾在永续发展上目前较不足之处,大概有四个方向,包括:人均碳排10.96吨太高,2030年减碳目标完成率差,再生能源使用比例低,再生能源完成目标低。目前已经有企业利用资讯系统记录各种用电、排碳的数字化过程,这些工作的推动,都有利企业进一步掌握距离净零排碳的目标有多远。
蒲树盛表示,对所有的企业而言,都必需要有永续发展的蓝图,以净零碳排及永续发展为目标,通过PDCA的循环,持续稳定完成永续的目标。
而永续的驱动力分成两方面,一方面是外部压力,这也同时是风险和机会,另外就是来自企业内部的关键策略,只有重视永续并作为企业的核心,企业才能真正做到以永续为目标。
至于这个永续发展蓝图是不同功能标准的集成,外部压力包括:社会责任投资(SRI)、全球经济市场趋势的转变、无法预期的气候变迁和疫情、来自全球及国家的法令法规要求、非政府组织(NGOs)影响力,以及联合国永续发展的推行。蒲树盛说,像是联合国17项发展目标,就是希望可以达到安居乐业,其他像是2030年控制全球升温摄氏1.5度的目标等外部压力,都是不会变的要求。
至于来自企业内部的关键策略,则包括:强化董事会职能、企业核心价值、完成永续愿景、持续创新永续作为、提高资讯透明度、强化利害关系人沟通、接轨国际规范,以及深化永续治理文化。他指出,像是公司强化董事会职能,就会需要撰写符合GRI准则、可披露组织非财务资讯方面的永续报告书。
蒲树盛坦言,组织韧性在未来十年、二十年如何持续?大家必须做到两件事情,一是永续,另一是数字信任,组织就有足够的数字韧性和未来。