企業對於 IT 的重視程度,從她們的預算金額可得知一二,而由於預算嚴重不足,自然令企業的資安風險大大提高!最近一份由 Sophos 發表的研究報告《亞太及日本區網絡安全的未來-文化、效率、警覺性》 (The Future of Cybersecurity in Asia Pacific and Japan – Culture, Efficiency, Awareness) 便披露了企業對網絡安全的資投有效與否,除了取決於購入的技術,企業文化、員工教育和成交路徑 (path-to-purchase) 亦舉足輕重。
亞太及日本區企業未能跟上網絡安全發展步伐
大部分亞太及日本區 (66%) 業務決策人認為缺乏安全專門知識是其公司的一大挑戰,另有 67% 表示難以招聘具備相關技能的人才。這種現象可歸咎於企業一般的網絡安全體制,它們普遍視防護工作為 IT 員工的額外職責。
與此同時,另一個與員工態度和行為有關,牽涉範圍更廣的問題影響著企業網絡安全。事實上,有 85% 的亞太及日本區企業指出,提高員工以至管理層的網絡安全意識以及加強相關教育為接下來 24 個月的最大挑戰。
預算及企業架構續成障礙
綜觀所有市場,只有 34% 的企業設有網絡安全專用預算,其餘絕大多數公司將相關預算納入更廣泛的 IT 預算或其他部門支出。企業的 IT 安全架構也不盡相同,有三分之一受訪企業設有專責的首席資訊安全總監 (CISO) ,另外三分之一由 IT 主管負責網絡安全,其餘則交由一位管理高層,例如首席技術總監 (CTO) 負責。多數企業均繼續由內部處理大部分網絡安全工作,它們通常只會外判幾個範疇,如滲透測試和培訓。
改變即將來臨
有超過五成亞太及日本區企業會定期大幅改動網絡安全策略。此外,大部分 (82%) 區內企業計劃於 12 個月內進行變更,當中有一半預期會更多採用外部的安全合作夥伴。除了由於整體安全態勢轉變,科技與產品的發展、法規要求和新型攻擊的出現也是更新安全策略的主要原因。
究竟『安全』的真正定義是什麼?歸根究底,安全就是能夠管理風險。因此,IT 主管必須找出關鍵的範疇並與團隊對症下藥,方能有效保護企業本身、員工和公司獲交託的所有數據。今次的研究突顯了企業於物色網絡安全專才和保持與時並進時所面臨的挑戰,更發現受訪的決策者不僅欠缺對安全風險應有的視野,亦高估了自身保護企業的能力。例如平均有三分之一的受訪者認為其企業曾於去年遭入侵,但有軼事性證據顯示數字應接近 100%。其實安全團隊必須主動應對當前的網絡威脅,因而需要能有效偵測可疑活動,且能連繫安全知識網絡的工具,為他們解讀所得的資訊和找出合適的解決方法。
是次研究由 Sophos 委託 Tech Research Asia (TRA) 向 900 名來自澳洲、印度、日本 (各 200 名)、馬來西亞、菲律賓及新加坡 (各 100 名) 的業務決策者作出量性問卷調查,並透過五個分別於澳洲 (兩次) 、印度、日本和馬來西亞舉行的行政圓桌會議收集真知灼見,藉此探討亞太及日本區的網絡安全狀況。
教育、領導、預算不足:企業維護網絡安全障礙重重!
https://www.facebook.com/hkitblog