我是廣告 請繼續往下閱讀
資誠聯合會計師事務所風險及控制服務部主持會計師許林舜表示,越來越多企業以更創新的方式來運用數據,一方面創造更多機會,但同時也可能衍生更多風險,很少有公司把網路和隱私風險管理納入其數位轉型的策略規畫中。
調查報告結果就顯示,有49%的受訪者表示,其企業僅將個人資料的收集、保留和使用限制在必要的最低限度,以符合法律規範,而且只有51%的受訪者具有其員工和客戶個人資料在收集、傳輸和儲存的準確清單,也只有53%受訪者要求員工完成隱私政策和實務面的訓練課程。
不僅如此,對於處理客戶和員工個人資料的第三方,只有46%的受訪者進行法規遵循的審查,以確保第三方有能力保護這些個資。另外,46%受訪者表示其組織要求第三方遵守組織的隱私政策。
就各地區來看,在發展整體資訊安全策略及進行數據使用治理上,歐洲和中東地區的企業通常落後於亞洲、北美和南美洲的企業。
資誠智能風險管理諮詢有限公司執行董事張晉瑞表示,使用進階認證技術可提高客戶和業務合作夥伴對組織資安和隱私能力的信心,進階認證技術包括生物識別技術、硬體和軟體代碼(tokens)、加密金鑰和多重因子認證等。
根據調查結果也顯示,有48%的受訪者表示,進階認證技術有助於減少經濟犯罪行為,41%的受訪者表示進階認證技術改善了客戶體驗。此外,46%的受訪者表示,他們計畫今年加大對生物識別技術和進階認證技術的投資。
然而,使用生物識別技術涉及隱私法規並引發公眾關注,因為企業需要使用個人的生物識別資料,並且依靠以知識為基礎的身份認證例如用戶提供母親的婚前姓名,如果該知識在單獨的違規行為中被盜取,可能會使組織容易受到攻擊。
資誠預期,企業將面臨更大的資料保護壓力,這將推動相關投資,而在金融產業的受訪者中,46%表示計畫今年增加對加密的投資。
不過,僅有31%受訪者表示,其公司董事會直接參與目前資安和隱私風險的審查。對於規模超過250億美元的企業來說,也僅有36%受訪者如此認為。張晉瑞指出,不管是大企業還是小企業,各種規模的組織都應該加強公司董事會對網路和隱私風險管理的監督。如果董事會沒有充分理解各項風險,就無法履行他們對數據保護和隱私問題的監督責任。
此外,歐盟從2018年5月25日起,將實施個資保護法(GDPR),有32%受訪者已經開始進行GDPR評估,尤其是亞洲(37%)比其他地方高一些。
歐盟另外一項重要的法規是網路和資訊安全指令(NIS directive)將於2018年5月生效,目的在提高網路的可依賴度,與GDPR一樣,不遵循此項指令的企業,可能會面臨嚴重的後果。許林舜表示,企業不應視GDPR和NIS指令為法規遵循的演練而已,而是一個策略機會,而在法規施行之前,企業也可和主管機關建立關係和溝通管道。
許林舜建議,企業應辨識營運流程中可能發生資安風險的環節,進而在事故一定會發生的基礎上,規畫預防性控制措施並宣導落實,其次,透過定期或不定期的稽核、管理階層審查,確保內外部威脅發生能快速偵測並保全證據,才能確保企業的核心競爭力,並建立社會各界對企業的信任。
