一般認為最安全的銀行,近年也開始發生遭駭客入侵,透過ATM及SWIFT系統盜領龐大金額款項的事件,而在2017年勒索病毒攻擊Windows系統時,台灣更是全球第二大受災國;日益嚴重的企業遭駭客入侵所造成的資安事件,不僅對企業本身的營運造成嚴重影響,企業的客戶資料可能因而受到危害,尤有甚者,企業長期以來所建立的聲譽及客戶的信任,恐怕會毀之於一旦。正因如此,近年來資訊安全已逐漸成為企業治理及風險管控的一項重要課題。
許多中小型企業,規模雖然不大,但基於業務經營範疇,是非常需要企業資安防護的,包括:
1.基於業務需要必須處理許多客戶個資者:
例如保險經紀人及代理人公司經手的保戶投保及理賠資訊,會計師事務所保有的客戶稅務及財務資訊,投信投顧公司或一些資產管理公司內部的客戶投資及往來明細資訊。
2.需處理客戶個資的系統管理業或科技公司:
有些公司的主要營業項目是透過自行開發的軟體或是協助企業客戶導入ERP或CRM系統,而有些公司則是幫企業客戶處理員工薪資資料或帳務資料,或近來有些網路行銷、大數據分析公司,都因業務性質的緣故需要協助企業客戶處理大量資訊,故資安需求亦高。
3.電子商務或網路購物公司:
市面上琳瑯滿目的電子商城、網路購物公司,因為網路交易需要而蒐集了大量客戶ID或信用卡個資,如果公司內部管控未臻完善,恐造成資安漏洞而讓客戶面臨極大的個資遭侵害的威脅。
運用資安保險,讓企業的資安防護更加完善:
如果我們把資安漏洞當成企業經營的重大風險,從風險管理的角度,企業有4種方法可用來管理資安風險:
1.避免風險:
在企業營運及交易流程上,儘量避免涉入客戶的個資,如此一來便沒有客戶個資外洩的風險。
2.承擔風險:
在企業內部自行設立資安部門,或是IT單位配置資安人員,由企業一肩扛起資訊安全的重責大任,同樣的,萬一發生資安事故,其後果及損失亦由企業自行負責。
3.風險的事前預防與事後補救:
從風險管理的角度,在資安事件的事前預防方面,最直接的方法就是聘僱外部的資安顧問,資安顧問可以協助企業檢視內部作業流程,提出評估報告及改善建議,同時也可幫企業完整的規劃資安防護軟硬體系統及訓練課程;更重要的,萬一公司受到資安攻擊,資安顧問可以提供最及時且有效的協助。而在資安事故事後補救上,除了資安顧問的協助,企業恐怕還需聘請外部的律師或公關公司,以協助處理法律訴訟及聲譽回復。
4.移轉風險:
企業在公司內部設立資安部門或資安人員,就像是辦公室裡加裝了門鎖及監視系統:而企業聘僱資安顧問,則像是在門鎖及監視系統之外,再增加24小時保全並連線警察單位的配置;然而,即使是設了重重的防範措施及關卡,資安風險還是存在,萬一發生資安事件時,公司仍必須蒙受損失。此時,企業可考慮把資安風險進行適度移轉,而在資安風險的移轉方面,企業可以考慮近期推出的新型態保險商品–資安保險。
資安風險移轉的新選擇 – 資安保險:
企業資安風險可以降至最低,但尚無法完全避免,萬一真的發生資安事件,如企業個資外洩造成客戶恐慌、駭客入侵竊取企業或客戶個人財務等,企業除了必須負擔恢復資訊安全狀態的相關費用之外,尚有資安重建、法律訴訟、商譽回復的費用,這時如果企業有事先投保資安保險,便能把資安事件所造成的損失降至最低。 資安保險是一個非常新穎的保險種類,屬於產物保險中責任保險的一種。跟大部份的保險一樣,平常不會覺得有迫切的需要,但真的發生事故時卻會很慶幸自己有投保;許多中小型企業受到預算規模的限制,也不可能在公司內部配置資安人員。
如果 貴公司是容易成為攻擊目標的指標性公司,或是數位資產龐大、經常需要處理大量客戶個資的公司,甚至是把資安列為公司業務核心能力、擁有眾多機密資料的公司,都應該透過資安顧問的規劃或是資安保險的承保,讓企業在資訊安全方面建置一個較完善的風險管理機制,也將企業在萬一發生資安事故時的損害降至最低。倘 貴公司有資安顧問或資安保險的諮詢需求,可洽詢基創管理顧問有限公司。
(本篇文章之著作權歸基創管理顧問公司所有,如擬引用請註明出處)
留言列表
