資安韌性與數位發展並行 微軟協助企業推動數位造局

全球經濟陷入不穩，多數企業趁機強化營運體質；在強化過程中，「資安韌性」被列入重大目標之一，因為企業若無法營造安全的應用與資料移轉環境，再偉大的轉型，都可能因不堪駭客襲擊而一夕崩塌。鑒於此，台灣微軟日前舉辦「數位造局 資安並行-企業資安高峰論壇」，針對政府政策、企業組織轉型、營運策略、實務應用等關鍵議題展開深度研討，希望幫助企業賦能安全環境、淬鍊數位韌性。

以簡馭繁，讓資安管理更省力

台灣微軟首席營運長陳慧蓉表示，近期在研討會聽聞產業大老為2023給出「韌」、「復」、「轉」關鍵字，象徵企業期盼打底轉型、迎向復甦。她認為應加上「安」字，不管韌性、回復和轉型，若未能以資安為基礎，不會成功；資安之於企業，如健康之於人一樣重要。

平均每家台灣企業面對10幾個資安原廠，但發生事件時，能把他們全都召來救援？著實不易。陳慧蓉建議企業「以簡馭繁」，以單一安全合規的平台來承載日常營運，取代過往零散產品，讓資安管理更省力，並借助箇中AI能量來增強防禦，藉由自動化順勢解決缺工問題。

數位發展部數位產業署主任秘書黃雅萍認為，許多企業積極引進科技工具加強防護，希望產生預警效果並提升回復力，過程中資安長（CSO）堪稱關鍵人物。她透露產業署正研擬補助計畫，希望推動企業採用零信任架構，以因應萬物聯網下急遽攀升的安全風險。

資安不僅是技術課題，更是經營策略的一環

近年資安事件頻傳，讓大家意識到在推動數位轉型時，就應納入資安考量。不僅如此，政府也陸續祭出多項資安規範，如要求公開發行公司以年報揭露資安管理作為。

安永諮詢服務執行副總經理曾韵表示，欲建構董事會資安策略，重點在於與利害關係人做好溝通，理解他們在意的點，讓資安策略規劃方向明確化。她也對董事會、CSO提出建議，董事會應納入具資安專業知識的成員，使治理結構更明確，也更能有效監督執行成效；至於CSO，有責任讓董事會看到資安衡量指標，並理解公司資安運作狀況及成效。

現今CSO面臨諸多挑戰，首先舊經驗逐漸失效、新典範還未出現，導致資安人員格外辛苦。鴻海研究院執行長兼資安所所長李維斌認為，AI將改變人們做事方式，迫使公司需要改變Process、Procedure，但怎麼變才是對的？尚無定論。

其次既有典範無法繼續創造價值，需透過採用（Adopt）、熟練（Adept）、適應（Adapt）過程，將新科技引入公司系統，其間需要做好風險管理。其餘挑戰還包括調和維持競爭力下的衝突，如促使業務單位接受資安政策；讓組織有能力擁抱過去視為高風險的機會；再者資安治理與資安管理、意即Accountability和Responsibility之間必須協調。總之資安已成數位轉型的成功指標，企業不宜從技術角度看待它，應列為經營策略的要素。

邁向零信任，先培養資安意識與盤點營運架構

微軟導入零信任架構的經驗。微軟定義零信任三原則，一是所有資源調度和使用過程皆需持續驗證；二是永遠給使用者最低權限；三是假設有資安破口、總有一天被入侵，要有防禦機制讓災損最小化。

台灣微軟專家技術部總經理許志勝表示，據上述原則微軟啟動零信任專案，涵蓋驗證、裝置、存取、網路等必要控制項。過程中微軟締造Internet by Default創舉，背後有諸多關鍵配套措施，包括強驗證、條件式存取、網路分段等。他建議導入零信任應以情境為主，從小專案做起、累積後續大勝利。

呼應零信任架構議題，台灣微軟大型企業商務事業群總經理李立仁認為過去大家視微軟為產品提供者，惟近年微軟參與資安專案時，已改變與企業的互動模式。微軟的第一步是傳達資安意識，尋求彼此經驗值共同提升。接著微軟扮演顧問，為企業一路盤點商業模式、營運模型到場景流程，據此定義最適合的資安Full Portfolio，再協助企業整合與優化既有的眾多資安產品。

發展企業韌性　推動資安與數位發展密不可分

在發展企業韌性上，資安與數位工作密不可分，如因應資安人才稀缺，應借助AI建立自動化機制，且思索如何建立足夠的運算力，以支撐未來大量資料處理需求。

因此，展望2023，多數企業期望鍛鍊足夠韌性、將危機化為契機，同時間亟需落實精進各項資安防護，可借鏡微軟零信任旅程，依序改造組織結構、人才培訓、工具應用、最新技術，強化自身資安韌性。

本文轉載自 DIGITIMES