IDC：亚太区8成4的企业资安策略仅达最低标准

台湾新春开年便发生证券业遭DDoS攻击的重大资安事件，然而根据IDC最新的研究结果显示，台湾企业面临的资安挑战在亚太区可能并不孤单：高达84%的亚太区(除日本外)的企业采行的资安策略，仅符合该组织成熟模型的最低标准。

IDC亚洲资安实务副总裁Simon Piff表示，亚太区企业在成熟模型上普遍表现不佳的状况不难想像，与区域内国家的资安相关法规现状有直接关联，但骇客攻击基本上与各国资安法规无关，加上新的攻击手法更容易让受害企业产生财务损失，他建议各国企业在资安防护上，不应该只以法规遵循为主要方向。

IDC将资安成熟度由低至高分成单点型（Ad Hoc）、回应型（Opportunistic）、法规遵循型（Repeatable）、主动合作型（Managed），以及风险预测最佳化（Optimized）等五大类型（下图所示，来源：IDC），根据IDC调查的800多家亚太区企业，发现高达43.8%的企业属于最不成熟的单点型，仅部署最基本的资安防护，且缺乏专职的资安人员；此外有40.2%的企业落在回应型，配备专责资安人员，但多半仍仰赖外部资源，且资安配置以法规要求的范围为限，并未具备清楚的防护架构与内部风险评估机制。落在这两个被IDC视为仅及于成熟度底线的企业，合计占比高达84%。

IDC表示，综观全球，资安管理问题主要都环绕在人员与安全技术两大挑战，但在亚太区，缺乏专责的专业资安人力是一大问题，许多企业仍将资安列为IT部门的部分责任，甚至让资讯长(CIO)主掌资安事务，凸显出企业对于安全威胁本质的不了解。此外，在采用的科技方面，亚太区企业普遍仍专注在防卫边界安全，但随着云端运算与行动装置的普及，资安业界早已经普遍认可100%的边界防卫已经是不可能的任务，必须采行不同的策略，方可有效降低风险。

Piff建议，企业应该以风险管理角度来检视内部的关键数位资产，并针对这些关键资产提供目标性的防护，同时不能再基于坏人一定在企业边界之外的心态来部署防护，而必须持续监控，以因应真实环境的动态变化。