資誠《2018全球資訊安全調查報告》:46%全球企業 今年將增加進階認證的投資

2018-03-12

資誠聯合會計師事務所於2018年3月12日公布《2018全球資訊安全調查報告》(PwC 2018 Global State of Information Security Survey)的新發現。本調查指出,在當今以數據驅動的社會中,隱私、安全和信任比以往任何時候都更加重要,也更加相互影響。但是,許多企業並沒有盡全力保護數據的隱私。

主要發現:

  • 只有51%的主管擁有員工和客戶個人資料的準確清單
  • 53%受訪者對處理客戶和員工數據的第三方進行法規遵循審查
  • 48%的人認為進階認證技術(advanced authentication)有助於減少經濟犯罪行為,46%受訪者計劃在2018年增加進階認證技術的投資
  • 只有31%的企業其董事會直接參與目前安全和隱私風險的審查
  • 32%的受訪者在2017年已經開始進行歐盟個資保護法(GDPR)的評估
     

資誠聯合會計師事務所風險及控制服務部主持會計師許林舜表示,越來越多企業以更創新的方式來運用數據,一方面創造更多機會,但同時也可能衍生更多風險。很少有公司把網路和隱私風險管理納入其數位轉型的策略規劃中。企業需要發展一個運用數據的治理框架,以了解最常見的風險,包括對資料收集和保留的風險認識不足。

近五成(49%)的受訪者表示,其企業僅將個人資料的收集、保留和使用限制在必要的最低限度,以符合法律規範。只有51%的受訪者具有其員工和客戶個人資料在收集、傳輸和儲存的準確清單。只有53%受訪者要求員工完成隱私政策和實務面的訓練課程。

對於處理客戶和員工個人資料的第三方,只有不到一半(46%)的受訪者進行法規遵循的審查,以確保第三方有能力保護這些個資。另外,46%受訪者表示其組織要求第三方遵守組織的隱私政策。

就各地區來看,在發展整體資訊安全策略及進行數據使用治理上,歐洲和中東地區的企業通常落後於亞洲、北美和南美洲的企業。

進階認證技術 可提高信任

資誠智能風險管理諮詢有限公司執行董事張晉瑞表示,使用進階認證技術(advanced authentication)可提高客戶和業務合作夥伴對組織資安和隱私能力的信心,進階認證技術包括生物識別技術、硬體和軟體代碼(tokens)、加密金鑰和多重因子認證等。

根據本調查,48%的受訪者表示,進階認證技術有助於減少經濟犯罪行為,41%的受訪者表示進階認證技術改善了客戶體驗。此外,46%的受訪者表示,他們計劃今年加大對生物識別技術和進階認證技術的投資。

然而,使用生物識別技術涉及隱私法規並引發公眾關注,因為企業需要使用個人的生物識別資料。並且,依靠以知識為基礎的身份認證(例如用戶提供母親的婚前姓名),如果該知識在單獨的違規行為中被盜取,可能會使組織容易受到攻擊。

本報告預期,企業將面臨更大的資料保護壓力,這將推動相關投資。在金融產業的受訪者中,46%表示計劃今年增加對加密的投資。

不到三分之一(31%)的受訪者表示,其公司董事會直接參與目前資安和隱私風險的審查。 對於規模超過250億美元的企業來說,也僅有36%受訪者如此認為。

張晉瑞指出,不管是大企業還是小企業,各種規模的組織都應該加強公司董事會對網路和隱私風險管理的監督。如果董事會沒有充分理解各項風險,就無法履行他們對數據保護和隱私問題的監督責任。

歐盟個資保護法與NIS指令

歐盟從2018年5月25日起,將實施個資保護法(General Data Protection Regulation, “GDPR”)。原則上,任何持有或控制以及任何實際處理歐盟個人資料的個人或法人均會受到GDPR的效力所及。某些受訪者表示,他們已經在2017年上半年為GDPR做了一些準備。 例如,32%受訪者已經開始進行GDPR評估,尤其是亞洲(37%)比其他地方高一些。

歐盟另外一項重要的法規是網路和資訊安全指令(NIS directive),將於2018年5月生效,目的在提高網路的可依賴度。被歐盟成員國認定為基本服務(重要基礎設施)營運商以及數位服務提供商(搜索引擎、雲計算服務和線上市場),都被要求向政府當局通報重大事件。 與GDPR一樣,不遵循此項指令的企業,可能會面臨嚴重的後果。

許林舜表示,企業不應視GDPR和NIS指令為法規遵循的演練而已,而是一個策略機會,在以數據驅動的世界中,使其業務能取得成功的機會。此外,在法規施行之前,企業也可和主管機關建立關係和溝通管道。

許林舜建議,企業應辨識營運流程中可能發生資安風險的環節,進而在事故一定會發生的基礎上,規劃預防性控制措施並宣導落實,其次,透過定期或不定期的稽核、管理階層審查,確保內外部威脅發生能快速偵測並保全證據,才能確保企業的核心競爭力,並建立社會各界對企業的信任。

Notes to Editors

本調查共有9,500多位來自全球122國的執行長、財務長、科技長、資安長、策略長及資訊安全主管等參與問卷調查,訪談時間為2017年4月24日至5月26日。

表一:全球各地區企業已發展整體資訊安全策略及進行數據使用治理上之比例

 

整體資訊安全策略

要求員工完成隱私政策的訓練課程

具有準確的個資清單

限制個人資料的收集、保留和使用

對第三方進行法規遵循審查

要求第三方遵守組織的隱私政策

北美地區

59%

58%

53%

53%

47%

47%

亞洲

59%

57%

55%

53%

49%

47%

南美洲

54%

50%

52%

47%

50%

50%

歐洲

52%

47%

47%

44%

42%

44%

中東地區

31%

29%

20%

19%

26%

26%

Contact us

楊 証凱
媒體聯絡人
Tel: +886 2 27296666, x26610
Email

關注我們