前往主要內容
工商時報LOGO

第三方資安風險 6成企業沒把握

  • 林昱均

已將目前網頁的網址複製到您的剪貼簿!

資誠PwC聯合會計師事務所12日發布《全球數位信任洞察報告》指出,60%的企業受訪者對第三方資訊洩露風險的了解程度有限,而20%企業幾乎是不了解第三方資訊風險。

根據資誠調查,雖有60%受訪者預計2022年網路犯罪事件將增加,56%受訪者預期透過軟體供應商的違規行為會增加,但只有34%受訪者正式評估其企業正面臨這種風險。

58%的受訪者預期其雲端服務受到的攻擊將大幅增加,但只有37%的受訪者透過正式評估來了解雲端風險。

資誠智能風險管理諮詢公司執行董事張晉瑞表示,即使企業自身的資安防禦良好,企業也可能容易受到攻擊。老練的駭客會搜尋企業資安最薄弱的環節,有時就是透過企業的供應商。企業必須正視第三方資安風險的議題,然而,在本調查中,只有不到一半的受訪者表示,他們對複雜的商業生態系統構成的新威脅做出回應。

當受訪者被問及其企業如何將第三方風險降至最低時,最常見的答案是確信或驗證其供應商的合規性(46%)、與第三方共享資訊或以其他方式協助第三方改善資安現況(42%),以及因應與成本或時間相關的網路韌性挑戰(40%)。

但資誠指出,58%受訪企業並沒有完善的第三方標準,60%受訪企業沒有重寫合約,另62%也沒有提高他們盡職調查的嚴謹性以識別第三方的威脅。

此外,企業高階主管和CEO受訪者對於CEO在資安方面提供的支持程度存在認知上的差異,CEO認為自己比其團隊更加參與、支持以及實現資安目標。不過,企業高階主管和CEO受訪者都同意,CEO積極參與製定和實現資安目標,的確會產生正面的影響。大多數高階主管認為,應對CEO和董事會進行教育,使他們能夠更履行資安職責,以實現2030年更安全的數位社會。

張晉瑞指出,最先進的組織把資安視為不僅是防禦和控制,而是成就永續經營並與客戶建立信任的一種方式。CEO作為企業的領導者,應該定下基調,讓資安團隊專注於更大的、與成長相關的目標,而不是狹隘的短期期望。

供應鏈的資安管理不僅是企業關注的議題,也是主管機關的監理重點。張晉瑞表示,金管會於2020年8月推動的「金融資安行動方案」中,增訂了供應鏈風險管理規範,納入核心資訊系統供應商或跨機構資訊服務之風險評估及查核等管理機制。張晉瑞強調,合作夥伴的風險也是企業本身的風險,企業必須瞭解及管理合作夥伴及廠商生態系的風險,深化資安治理,以迎接新世代的挑戰。

您可能感興趣的話題

返回頁首
LOADING

本網頁已閒置超過3分鐘。請點撃框外背景,或右側關閉按鈕(X),即可回到網頁。