/ 發布日期：2018/02/02/ 瀏覽次數：39

在開放的數位世界體系，充斥著許多新挑戰與外部開放式的生態系統，使得網路安全性成為數位商務的關鍵部分。網路安全不斷持續延伸，儼然成為數位安全的代名詞。當企業轉型為數位商務型態，網路安全性將需要處理缺乏直接持有基礎設施與IT控制領域之外的服務，安全性將變成科技與IT(包含操作技術(Operational Technology與物聯網Internet of Things)實體世界的交接處。隨著演算法在決策上取代人類介入，商務進展正不斷加速著演算法的發展。數位風險與數位競爭對手將持續挑戰企業，並將造成更多損失。不過根據2016年對非IT負責人的調查，顯示71%受訪者擔憂過度的網路安全性將阻礙企業的創新發展。
當商務創新單位發現何種安全性是其所需且能夠負擔的，企業將學習如何選擇可承擔的數位風險。數位倫理、分析與專注於人將會與技術控制同等重要，本文將擷取Gartner提出在數位商務網路安全中，應注重的五大領域與簡單摘錄相關說明。

一、領導力與管理(Leadership and Governance)
決策、優先性、預算分配、衡量、提報、透明性與責任皆為計畫成功要素，需在保護與營運之間取得平衡。
(一) 在數位商務進展中進行風險管理，數位商務挑戰著資訊風險與安全管理的基本原則：風險與安全性領導者必須了解事業創新所伴隨的風險，並取得企業保護與創新採用間的平衡點。
(二) 如何讓執行長擁抱數位風險管理：通常風險管理執行獲得策略商業成果之前，會面臨到些許困境，若能透過主動式評估風險與商業產出價值的需求，資訊長(CIO)與資訊安全管理者將能把數位風險管理轉型為具競爭力優勢。
(三) 發展數位風險領導者引領數位商務創新：當全球科技環境更加複雜，各企業面臨的風險數量將會倍增，故將會需要許多風險管理者，資訊長必須培育數位風險領導者以確保數位商務創新的成功。

二、不斷演變的威脅環境(The Evolving Threat Environment)
更先進的威脅不斷出現，報告著重於目標與侵入式的機制，預期在2020年時，當現實與數位世界的區隔更為模糊時，網路安全將是首要考量，在面對具侵略性的商務中斷攻擊的意外事故，其回應應著重於復原與彈性。
(一) 將網路安全投資移轉至偵查與回應：IT風險與安全性領導者應從防範威脅的角度轉移，認知到完美防衛是無法達成的，組織需要著重於偵查與回應所有惡意行為與意外事故，因為即使在最具預防性的控制下，仍無法防止所有意外發生。
(二) 應準備如何回應在具威脅性的網路攻擊之後的商務中斷：企業意識到網絡攻擊迅速增加，對企業財務與聲譽的廣度與深度都會受到影響，企業將必須整合安全性事故回應流程。

三、快速數位商務的網路安全性(Cybersecurity at the Speed of Business)
數位商務進展速度遠高於傳統商務，傳統安全管道設計將不適用於新的數位創新領域。商務機會、發展與決策將更著重於時效與效率，將需要新的技能與實務操作方式。
(一) 資訊安全辦公室(chief information security officers, CISO)與風險管理領導人必須重新評估與開發其團隊能力，以確保團隊具備適切的安全性維護能力，並以更靈活的開發方式作為數位轉型的一部分。
(二) 未經核准的業務部門IT雲端採用將增加財務負債，當不同的業務單位發展朝向利用資料獲取收益，未經核准的雲端服務(軟體即服務(SaaS))採用將提高資料洩漏與金融負債的風險。

四、網路安全的新邊緣地區(Cybersecurity at the New Edge)
過去資料保護僅須確保數位中心的安全即可，但新邊緣已將資訊中心推向營運技術、雲端、軟體即服務與物件，企業需要因應已無法再掌控的科技與資產的網路安全與風險。
(一) 雲端是安全的，但使用者是否安全地操作：資訊長與資訊安全辦公室領導人需要停止對於雲端安全性的過分擔憂，其需要運用想像與能量來開發興的雲端管理途徑，這將使他們能夠安全、順從和可靠地利用這種日益普及的運算模式。
(二) 確保物聯網(IoT)的安全：物聯網的影響將導致數位化無所不在，同時改變商務與社會型態。在法令的要求下，因物聯網設備能力與多元化，對保護與控制的要求將持續擴張，市場經理人必須規劃這些發展機會。

五、人與流程的文化改變(People and Process: Cultural Change)
網路安全性涉及人、流程與技術，但對前兩者的重視度一直以來都不如後者，網路安全性在許多企業都被視為是技術問題，並由技術人員與IT負責。但是當數位商務與科技賦予個人的能力，著重於員工與消費者的行為改變與約定是相當重要的，網絡安全必須透過過程與文化變革來適應與滿足人們需求。
(一) 以人開始以人結束的人本(People-Centric)安全與數位人性(Digital Humanist)宣言間的連結：數位人性是個以人類興趣與價值為中心的設計哲學，若以傳統安全性原則的表象看來，人常被視為是最脆弱的一環，數位風險辦公室人員、科技策略者與訊安全辦公室領導人必須將人本視為數位人性整合的一部分。
(二) 透過機緣(serendipity)將人本安全連結數位人性宣言，擁抱機緣的數位人性原則本質是讓使用者改變系統與應用程式的使用方式，但會破壞創意、系統採用的安全性政策則不應被建立。