資料保護 未來一年網安投資重點
PwC發布全球數位信任洞察報告(Global Digital Trust Insights Survey 2025),今年5-7月針對全球77個國家或地區、4,042位企業高管與資訊主管進行量化調查,其中25%受訪者來自年營收超過50億美元的企業。結果顯示,企業越來越重視網路安全,77%企業未來一年將增加預算以強化網路安全。
調查發現,受訪者最關注的網路威脅類型,依次為雲端風險(42%)、資料駭取與洩漏(38%)、第三方違規(35%)、透過連網裝置網攻(33%),這四大風險同時是資訊部門主管認為尚未準備好因應的前四大威脅。強化網路韌性成為企業整體策略的重要議題。
其中,企業未來一年強化網安相關投資,以資料保護(48%)、優化既有資訊系統與網路基礎架構(43%)優先。資訊主管則以雲端安全(34%)、資料保護(28%)投資為先。企業無論哪一個部門,均認為資料保護是未來一年網路安全的重點投資方向,顯示資料保護已成為維繫利害關係人信任與品牌誠信的關鍵。
新科技雙面刃 資安法增網安投資
本項洞察報告顯示,67%資安主管認為生成式AI (GAI)、雲端科技(66%)蓬勃發展,增加企業過去一年資安暴險。可見新興科技興起雖為產業帶來新機會,也增加網攻面向與途徑。如越來越多裝置透過網路相連接,資安主管表示連網裝置(58%)、營運系統(54%)潛藏網路攻擊風險,製造、醫療、能源成為主要感受到風險的產業。
雖然GAI擴大網攻的面向但也被用來強化網路安全,78%企業過去一年增加GAI投資,72%增加風險管理相關投資,以確保AI使用符合治理標準與風管要求。企業認為應用AI面臨的挑戰包括:難與既有系統/流程整合(39%)、內部利害關係人對GAI信任不足(39%),相關內控與風管措施不足(38%)與缺乏內部管理規章(37%)。
96%受訪者表示,資安法規使他們在過去一年增加網安投資,78%認為法規有利改善或提升其網路安全實務做法;不過企業對法遵的信心,CEO較整體受訪者更高,尤其相較資安長(CISO)、策略長(CSO)更明顯,特別是在AI(67%vs.54%)、資安韌性(64%vs. 51%)、網路基礎設施(68%vs.57%)等領域的法遵信心上。
資誠智能風險管理諮詢董事長張晉瑞指出,要彌合信心差距需要管理階層間強化溝通,CEO應確保CISO/CSO獲得符合法遵的資源與支援,相對的CISO/CSO則應提出數據佐證,具體說明將法遵列為策略要務的理由。
量化網路風險影響 整體擬訂策略
儘管瞭解網路風險是時刻存在的威脅,僅有15%企業確實量化風險對財務的影響。多數受訪者同意,量化網路風險對財務的影響有助企業評估網路安全投資(88%),或衡量風險承受能力(88%),也有助將資源配置在高風險項目(87%),或呈現網路風險管理對企業的價值(86%)。
然而,量化網路風險並不容易,企業表示主要挑戰來自對風險範圍的不確定性(45%)、數據好壞與數據來源等問題(44%)、對法規與監理的考量(43%)也是成因。張晉瑞認為,網路風險的量化與企業整體風險管理的胃納有關,也仰賴資訊部門主管要與各部門主管協作將風險影響量化,助力擬定策略投資的優先順序。
網路安全形塑企業差異化競爭優勢,57%企業認為網路安全的好壞將大幅影響顧客對企業的信任,49%認為將影響品牌忠誠度與誠信,46%認為將影響企業成長的機會。77%企業將在未來一年增加預算強化網路安全。
其中,尤以北美地區科技、媒體與電信業更是如此,82%企業表示將增加網路安全預算。張晉瑞指出,隨著企業普遍將增加投資以強化網路安全,企業仍需重視與整體策略連結,不僅為解決當前最迫切的風險,長期而言,更要建立信任與網路風險侵襲下的復原能力。
發揮資安長職能 縮短與韌性距離
企業構築網路韌性,需要從人員、流程、技術等面向進行,企業表示已進行或將進行的前三大措施,包括梳理並界定企業內部關鍵流程(42%)、導入網路災難復原的技術(39%)、建構對外部利害關係人溝通的機制(35%)。
儘管企業對網路風險擔憂日增,只有2%企業表示在內部已全面採用網路韌性措施。結合企業營運持續計畫(BCP)、資安、風險管理等部門職能建立跨部門韌性團隊,成為優先建議措施,以研擬可能情境,擬定企業資安事件應變計畫、盤點企業所依賴技術或資訊系統,辨別其相互依賴性,制定相對應的風險管理計畫。
張晉瑞建議,企業的CISO應向高階管理團隊提供具體可行的網路威脅因應建議,企業也可讓CISO監督技術和基礎架構的建置、充分參與網路投資的策略規劃,並定期向董事會報告,使董事會即時瞭解網路風險趨勢與因應做法現況。
延伸閱讀
