Gartner 數位風險 物聯網 資安 安全

數位風險2015年來襲 企業須升高層級總體因應

2014-10-23
企業對於「數位風險」的危機意識與日俱增,預估在2015年底之前,將有半數企業執行長會決定設置專責管理數位業務的資深主管職。Gartner今年針對執行長與高階主管所做的調查指出,預估2017年時,採行數位商業模式的大型企業當中,將有三分之一設有數位風險長(Digital Risk Officer,DRO)或類似職位。
到了2020年,預計將有六成數位企業曾因為IT資安團隊無法因應新型態技術與使用案例並落實數位風險管理,因而發生嚴重服務疏失。資訊科技(IT)、作業科技(OT)、物聯網(IoT)及實體資安技術將會彼此互相依存,因此企業必須從風險為出發點來進行治理與管理。數位風險管理將帶動下一波企業風險與資安革命,需要保護的技術範圍會越來越擴大。

數位風險長除了要有業務敏銳度,也必須具備足夠的技術常識,才能提出建言以解決數位業務風險;許多傳統的資安主管職稱將更名為數位風險與安全主管,但如果沒有從管轄範圍、職權或技術方面做出實質改變,還是無法完全滿足這個角色的需求。

數位風險長的職權與管轄範圍與資訊安全長(CISO)大相逕庭,因此許多企業組織的資訊安全長職責於2014年仍將不脫現有範疇。數位風險長則是向非IT部門高階主管呈報業務,從主管階層負責管理風險,並橫跨各個直接共事的數位業務單位。

資安主管職仍將有其必要與重要性。不過,很多資訊安全長的職務將演變為數位風險長,開始與數位安全團隊進行有效率的合作,以管理各種型態的技術。資安主管可能必須延續現在所賦予之職責,並直接向數位風險長報告業務。

IT、OT、物聯網與實體資安形成一個新的科技超集(superset),挑戰了企業組織現有架構、技術組合與工具持續,並有效地評估、定義與管理科技風險的能力。讓IT資安團隊兼顧所有網路感知技術的做法並不可行。要從IT部門外部管理新型與既有技術,所具備的能力與工具都必須超越IT資安團隊現有能力。

企業若能採行一套具有一致性且統一的數位風險解決方法,比起多數企業目前所使用的片段式作業方式,不但更具成本效益且能提供更多風險擔保。要培養數位風險管理能力,就必須破壞現有組織架構與職責分配並重新加以規劃,此外還要發展資安與風險評估、監控、分析與控制的新技能。

到了2019年,新的數位風險概念將成為科技風險管理的預設解決之道。數位風險長將對公司治理、監督與數位業務決策具有極大的影響力,此一角色也將與非IT部門主管緊密合作。然而,許多主管仍認為,科技與科技相關風險都只是技術問題,應由技術人員處理並由IT部門自行解決。如果無法有效解決這樣的觀念鴻溝,科技與隨之而來的業務風險將帶來不當影響,也無法透過能見度或治理程序來遏止相關風險。

(本文作者現任Gartner副總裁)


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!