隨著資訊保安威脅日益精密,企業通常缺乏必要的專業能力來與之抗衡,而為了確保企業有盡能力地保護所收集的資料,歐盟早前便制定了「通用資料保護法規」(GDPR),並即將會於 2018 年 5 月 25 日實施,全球所有企業都應開始做好準備。然而,根據研究調查發現,企業 CXO 級高階主管並未認真看待這項法規,令他們太過相信自己應該能夠符合法規。
趨勢科技研究顯示,企業對於「通用資料保護法規」背後的原則都有相當程度的認知:95% 的企業領導人知道他們必須符合這項法規,85% 已閱讀過相關規定。此外,79% 的企業對自己的資料保護措施相當有信心。然而根據 Gartner 的預測,有超過 50% 的企業將無法在 2018 年底之前百分之百達到法規要求。該機構建議企業應該現在就開始預做準備,並且將重點放在五項最重要的項目之上。
儘管大多數企業都已意識到這項法規即將實施,但仍然不清楚法規中要求保護「個人身分識別資訊」(PII)的確實內容。在所有受訪者當中,有 64% 的人不曉得客戶的出生日期也算是 PII。另有 42% 的人認為電郵行銷資料庫不算 PII。此外,也有 32% 的人認為住址不是 PII,有 21% 的人認為客戶電郵地址不是 PII。這些結果都明確顯示企業並未真正做好準備,也不像他們自己所想的可以高枕無憂。但無論如何,黑客只需取得這些資料就能從事各種身分冒用詐騙,而任何未妥善保護這類資訊的企業都將陷入危險並面臨罰款。
違規的代價
根據調查,有高達 66% 的受訪者毫不擔心可能面臨的罰款,所以並未做好必要的資訊防護。僅有 33% 的人知道他們可能面臨高達公司年營業額 4% 的罰款。此外,66% 的企業認為商譽及品牌損失是資料外洩事件當中最大的損害,46% 的受訪者認為影響最大的應該是現有客戶。這樣的心態實在令人擔憂,因為企業甚至可能因為資料外洩而被迫倒閉。
權責歸屬
現在很多企業並不清楚當一家美國的服務供應商的企業客戶外洩歐盟資料時,誰該負起責任?僅有 14% 的受訪者能正確答出供應商和企業客戶雙方都有責任。其他 51% 的受訪者認為應該處罰持有歐盟資料的企業客戶,24% 則認為應該處罰美國的服務供應商。
此外,企業也不確定誰應負起確保法規遵循的責任。有 31% 的受訪者認為執行長(CEO)應該負責帶領企業遵循此法規,另有 27% 認為資訊保安長(CISO)及其資訊保安團隊應該負起領導責任。但這些企業中卻僅有 21% 確實設置了一位高階主管來負責此法規相關事務。目前,65% 的企業都是交由 IT 部門來處理,而且僅有 22% 的企業有董事會成員或高階管理階層參與其中。
技術要求
根據法規要求,企業必須根據其面臨的威脅而建置相關的尖端技術。儘管如此,僅有 34% 的企業已建置尖端防禦來偵測入侵者,33% 的企業已經投入資料外洩防護技術,31% 已經採用資料加密技術。
上面數據節錄自趨勢科技與 Opinium 合作的報告,該報告在 2017 年 5 月 22 日至 6 月 28 日期間調查 1,132 位線上受訪者。受訪對象為員工 500 人以上的企業 IT 決策者,涵蓋:美國、英國、法國、義大利、西班牙、荷蘭、德國、波蘭、瑞典、奧地利、瑞士等 11 個國家。受訪者皆為高階經理人、資深主管,或中階主管,其所屬產業包括:零售、金融服務、公共機關、媒體與營造等等。
50% 企業仍未達標!你是否準備好應對歐盟通用資料保護法規 (GDPR)?
https://www.facebook.com/hkitblog