高科技資安論壇 會後報導
資安政策須與公司營運目標結合,才能讓營運團隊感受到投資的效益。 蔚藍雲推出資安量化框架,能評估不同資安投資對降低整體資安風險效益,以及比較各項資安投資對企業的影響與計算性價比,找出各種資安專案的推動順序。
文/林裕洋
蔚藍雲認為,每個企業的營運特性、公司文化迥異,市面上並沒有一體適用的資安治理模式,而是必須依照公司流程、營運模式進行評估,才能找到最合適的策略,達到提升企業資安防護力的目標。特別是一套有效的資安防護機制,不僅需要一套合宜的資安防護策略,資安長須掌握員工的資安意識是否足夠,是否真能夠理解公司的資安政策,唯有如此才能讓資安防護機制發揮最大效益。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
蔚藍雲策略諮詢總監黎嘉龍指出,「從過去協助企業制定防護策略與機制的經驗,我們認為資安長在制定資安政策時,必須與公司的營運目標結合,否則營運團隊不會感受到落實資安政策帶來的效益。因此,資安長應該要向董事會溝通說明,當爆發商業機密、客戶個資外洩時,除了會影響到公司的商譽,甚至可能會因為違反商業機密、個資法,支付非常高額的罰金,最終勢必會衝擊到公司的整體營運。」
善用量化評估模式 資安預算效益最大化
長期為企業提供策略顧問服務的蔚藍雲指出,企業在評估資安投資範圍非常廣,涵蓋系統、網路、內部流程、資源及教育訓練等,然而在評估不同資安投資對降低整體資安風險效益,以及對企業的影響與計算性價比時,往往欠缺一套標準的「量化框架」,以評估各項資安投資的價值與執行的優先順序。
黎嘉龍說,有別於傳統資安評估專案,蔚藍雲是以比較「為降低個別目標的風險所需的資安投資性價比」、「該個別目標受到攻擊時對企業的影響」等為主軸,協助客戶以量化評估方式,排定資安專案的投資優先順序。舉例而言,不少企業會想使用 Azure OpenAI 強化資安防護力,但引進此技術是否能帶來預期效益,仍然需要完善的評估,如基礎架構能否配合等,才能達到提升資安防護能力的目標。另外,針對尚未展開資安防禦策略升級的企業,蔚藍雲推出「零信任資安成熟度評估框架」,涵蓋行政摘要、零信任原則、零信任成熟度評估模型、研究結論與潛在風險、零信任改善措施建議、零信任改善措施藍圖等,作為企業推動資安專案的第一步,協助企業提高資安防禦韌性。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
