疫後數位化潛藏危機!六大企業應趁勢升級資安防護
本土疫情再次衝擊台灣企業,在許多企業因應疫情調整營運機制的同時,部分企業已經整裝旗鼓,準備好踏入因為疫情而出現的利基市場。疫情的影響促使消費者從根本改變現有的生活習慣,卻意外的在各個產業產生不同的商機。加上各個產業因疫情造成的營運停擺,「不穩定的價值鏈」使得破壞式創新的擁護者取的了天時地利人和的時刻。小至微型創業的商機,大至產業供應鏈重組,產業的領先者若在混亂的時刻不保有飢渴的心態,極有可能會落為市場重新洗牌的受害者。
新戰場的入場券:數位升級
微軟CEO曾說COVID-19讓企業數位轉型加速五年以上,但是數位轉型絕對不只是改變辦公模式和雲端應用而已,對於企業主來說有更深層的意義: 數位化攻擊將成為重挫商業的最有利武器之一 。
後疫情時代,企業更著眼於提高生產力、降低成本,以強化競爭優勢及可持續性,因此資訊環境的升級成為取得新戰場的入場券。自由系統根據在資訊產業的服務經驗,以及疫情期間協助數百間導入數位升級的解決方案,歸納出數位升級可以為企業帶來的競爭優勢:
1、組織內部管理
疫情突然再次爆發,使的企業不得不開啟遠距辦公的營運模式。在打卡、簽呈、歸檔到合約等的行政流程都可以透過遠端進行時,企業不僅省下過去因為數位化不足帶來的時間成本,管理者更可以在後疫情時代用數據化的方式,優化和管理組織內部的行政流程,為組織帶來更有效率的工作環境。2、上下游資源整合
許多產業因營運停擺造成極大的損失,嚴重者可能因為無法出貨,交期持續延宕,遭受其他競爭對手取代的狀況。但疫情影響的範疇遍及全球,若企業擁有足夠的數位競爭力,極有可能切入國際大廠的供應鏈體系,為企業帶來指數型的業務成長量能。3、拓展及鞏固市場
除了拓展新的利基市場,鞏固既有市場保住業務基本盤,更是企業持續成長的關鍵。數位工具不僅可以用在遠端溝通,更可以結合數位行銷,在疫情期間滿足新的利基市場,例如:線上策展、跨境電商。許多企業更是抓準商機加速新產品的推行,例如:宅經濟需求。
「 未來每家企業都是軟體業。 」——微軟執行長Satya Nadella
企業主可能無法體會未來每個產業都透過軟體營運的情境,但數位競爭力卻已經成為後疫情時代企業的生存必需品,不論企業內部組織管理、外部商務合作到市場拓展,數位工具將會逐漸凸顯其對於企業不可或缺的存在價值。
四大指標檢視疫後資安新挑戰
「 2020年在疫情影響下,加速企業數位轉型的進程,企業將可能面臨雲端風險升高與逐漸成長的複合式目標攻擊 。」——趨勢科技台灣區暨香港區總經理洪偉淦
數位化是一把雙面刃,運用的好能在商場奪得先機,稍有不慎也能將企業推下神壇。近年來不只是台灣大廠遭駭,全球企業隨著雲端、大數據、5G、AI等數位科技的導入與應用增加,也愈來愈重視資安管理策略。在這個萬物聯網的時代,產能提升的同時也意味著風險漏洞大幅轉移至虛擬世界。
團隊近年來累積許多資安事件救援經驗,幫助多家科技大廠在事故發生當下即時定義並解決問題。不少客戶透露難處:疫情下經濟與營收不穩,財務投資趨向保守,但資安事件頻傳又讓內部人心惶惶,到底該不該大刀闊斧革新資安模式?根據經驗,團隊認為可以從以下四點趁勢檢視企業體質:
STEP 1:落實遠距辦公安全防護機制
混和辦公模式將成為未來新型態的工作模式,絕不只是為了COVID-19救急而短時間居家工作,隨著數位化程度愈高,企業愈應該及早做好準備迎接革新。
- 1、裝置安全控管 :個人或家用筆電是否乾淨、Intune、內網連線安全
- 2、資料安全控管 :檔案遠端存取、授權、異常下載、流向追蹤等
- 3、身分安全控管 :SSO、MTP、AD、生物識別等機制加強異地登入安全
- 4、遠端技術支援與作業流程 :優化IT基礎環境如VPN伺服器
STEP 2:由上而下「零信任」擴大資安防守範圍
為何大家都說資安政策得「由上而下」?因為資訊安全不只是IT/MIS的技術型任務,更是管理者需要訂定目標策略並帶頭聯防的一門管理學。根據iThome 2020年度調查, 企業主最擔心的資安風險是「員工行為缺乏資安意識」,意味著對企業來說,內部漏洞比外部攻擊更難防 。
如果企業主只顧著對員工設下禁令,卻未能從員工的工作模式出發思考,資安政策便永遠只是上下級之間的互相刁難。除了防毒軟體、防火牆、限制員工上網行為等消極處理方式,要想有效擴大資安防守範圍,必須得由管理者賦權做起,重視員工的數位生產量能:
1、滿足員工所需的資訊基礎條件
不安全的網路漏洞、未列管的裝置漏洞、下載破解版軟體都是常見的攻擊破口。員工並非故意找你麻煩,只是想尋求解方,故提供員工穩定的網路、商用筆電和企業級協作軟體、雲端工具,便能減少員工「想怪招」而增加風險的機率,生產效率也會隨之提高。2、站在使用者端思考管理策略
除了軟硬體配置,管理者也要避免設下「治標不治本」的資安管理政策。舉例來說,員工總是隨意將多組密碼記在便條紙或桌面上,容易一起遭竊。解決方法並非設定更多組帳號密碼增加記憶難度,而是導入多因素驗證或AD單一登入,讓IT有效管理也讓員工方便登入。3、舉辦資訊安全講座與教育訓練
資訊安全不只是要保護「有價可量化的」營運收益, 更要保護「無價且不可量化的」客戶隱私、業界商譽與品牌價值 。除了技術人員,每位員工都有義務遵循基本資安守則,管理者應該重視資安教育訓練以發揮上行下效之用。
STEP 3:建立監控體系轉被動處理為主動追蹤
如果企業的防護手段侷限於基本的防毒軟體或防火牆,恐怕不足以應付日新月異的惡意攻擊。傳統工具著重擋下攻擊或處理危機,仰賴人工更新以識別各種攻擊特徵碼,較難以做到主動、即時的行為判斷與預防滲透。
完整的資安監控中心(SOC)結構應該包含「前期–預防」、「中期–處理」、「後期–補強」三個階段 ,根據服務客戶的經驗,企業只要中標過一次卻未從根源解決問題,便有很高機率被再次攻擊,因此追蹤資安事件、學習並優化、動態調整環境是一場必要的長期耐力戰。
STEP 4:慎選合適的資安服務供應商
企業的資安政策要落地會面臨兩大難題,第一是專業領域牽涉面向太廣,長期管理太費工費時;第二是攻擊模式層出不窮,資安專家必須時常更新知識和解決方案。當企業內的IT部門無暇兼顧資安時,委外給專業資安服務廠商管理不失為成本相對低且保險程度高的解方之一。
市面上的資安產品與服務百花齊放,在選購前要考量兩個要點: 「企業需要什麼」以及「導入後如何有效長期運用」 。根據自由系統團隊的觀察,客戶的終極目標是解決問題,與其錯誤投資,他們更期望專業供應商能協助評估、導入、維運一包到位。買「產品」就像是求籤詩,還需要提供「服務」的解籤人。
首當其衝的六大產業
面臨後疫情時代的台灣企業,不同產業都擁有各自的限制,使得企業在下優化資訊環境的決策窒礙難行,綜合數位升級及資訊安全佈署的必須性及急迫性, 電子零組件業、資訊科技業、半導體產業、製造工業、軟體服務和生技業 等產業為需要優先考量的產業。根據上述產業歸納出三個評估的層面:
1、產業國際化程度
後疫情時代每個產業市場的變化不一, 但可以肯定的是若將戰場提升至國際的舞台,一定有更多新興市場出現,競爭也更加激烈 。若企業身在國際化程度相對高的產業,不論自身是否已加入國際供應鏈或跨國市場,若不加緊腳步在數位環境及資訊安全的升級,極有可能因為服務量能不足,或出現資訊安全事件影響企業營運,遭受其他競業超車。輕者失去部分利基市場的領先地位,重者可能長期成為消費者或是供應鏈中的黑名單。2、企業規模
企業規模的大小直接關聯到支付贖金的能力,駭客攻擊的目的即是透過勒索取得贖金,因此大型企業非常容易落為攻擊的標靶 。如2020年末至今,持續有科技大廠遭受加密勒索病毒的威脅,許多企業因缺乏健全的資訊安全架構,無法有效阻擋惡意攻擊,與駭客談判的過程只能屈居下風,最後因無法忍受企業營運及企業形象受損等成本,最後只好支付大把的贖金,盡快讓企業恢復營運。3、產業機密性
產業的機密性一直都是與資訊安全關聯度非常高的話題,後疫情時代大環境的數位環境升級,而擁有關鍵技術或是身為國際供應鏈的企業,資訊安全將成為企業營運的必要投資,其重要性已經如同企業對於管理和財務投資。資訊安全投資的不足,除了將企業運作及商務機密暴露在風險之中,在後疫情時代更可能影響到外部合作的意願,若沒有達到一定程度的資訊安全投資,極有可能危及到整個供應鏈或是合作組織。
台灣企業站在後疫情時代的交岔路口,企業經營者的商業決策將影響到企業將來3–5年的發展性。企業領導者的責任及是在一片迷茫中,梳理出一條最適合團隊前進的道路,時至今日數位實力以及資訊安全已經成為企業發展不可僥倖的必經之路,但在長遠的路途中將會發現,這條必經之路才是最平坦、最寬闊,可以順利將企業推向光明處的康莊大道。
聰明評估、策略放遠、趁勢補強
在這個瞬息萬變的後疫情時代,數位攻擊也逐漸轉變為高敏捷式的網路威脅型態,企業如何逐步建構起資訊安全的堡壘? 最重要的觀念就是「不存僥倖即時因應」 。
很多企業主有一個壞習慣:出事後才找IT團隊究責,小至設備故障、網路斷線,大至電腦中毒、系統當機甚至被勒索加密, IT永遠有擦不完的屁股,問題累積便成為資安破口 。資訊問題隨時有可能造成業務營運停擺,維修或救援成本高昂甚至商譽受損,從風險成本的角度來看,資安建置是一種長期避險投資,而非一次性開銷,尚在觀望的企業不如趁著商場角力受到疫情牽制的時候,為企業安排一場資訊安全健檢。
責任編輯:文潔琳、陳建鈞
《數位時代》長期徵稿,針對時事科技議題,需要您的獨特觀點,歡迎各類專業人士來稿一起交流。投稿請寄edit@bnext.com.tw,文長至少800字,請附上個人100字內簡介,文章若採用將經編輯潤飾,如需改標會與您討論。
(觀點文章呈現多元意見,不代表《數位時代》的立場)