合規認證等於安全？重視合規性企業安全事故不減！

合規認證等於安全？重視合規性企業安全事故不減！

針對網絡安全，很多企業會第一時間聯想到企業當中的防禦方案以及相關合規性要求，然而合規性是否代表一切？這問題就好像問你 KPI ROI 數值良好是否代表企業賺大錢一樣，答案當然是否定的，然而很多企業卻視合規性為企業安全的神聖指標，令 IT 安全留於紙上談兵的階段。

今天一份來自 Vormetric 的《2016 年 Vormetric 資料威脅報告》調查便發現全球 91% 組織覺得容易受到資料威脅，這份第四屆年度報告調查了全球大企業中的 1100 位 IT 安全高管。

新報告的關鍵發現表明，組織機構繼續將合規等於安全，相信達到合規要求就已足夠，即使獲得合規認證的組織發生了越來越多的資料洩露事件也是如此。IT 安全控制方面的投資也被發現「錯位」，大多數組織機構都非常看重周邊防禦，但是周邊防禦一直都不能阻止資料洩露和日益複雜的網路攻擊。

451 Research 的高級企業安全分析師、《2016 年 Vormetric 資料威脅報告》作者 Garrett Bekker 表示：「合規並不能確保安全。我們從已經報告達到合規要求但還是發生了資料竊取事件的企業（如 Anthem 和 Home Depot 等公司）那裡了解到，合規並不一定意味著企業資料不會洩露和敏感性資料不被竊取。但我們發現，組織機構看上去似乎並沒有收到這一訊息，近三分之二（64%）的組織機構都認為，在防止資料洩露方面，合規是非常/極其有效的措施。」

報告內容十分詳細，然而我們不逐一詳細 Post 在這了，反而希望想借上述短短幾句，讓大家反思一下，機構堅持相信多年的合規性是否就代表安全，這是否太過留於紙上談兵？還是負責 IT 的那位兄台不希望增加工作量而選擇逃避？還是身在其位，但心中只有想著下班、加薪而未盡力推動資安防禦改革？

能力愈大，責任愈大！如果身位一名 IT 主管，卻選擇逃避或懶惰而不思進取，最終出現了重大安全事故時，不但令你失去工作，更隨時讓你於行內「身敗名列」，所以假如不幸地你是上述提及的其中一類 IT 管理人，從今天起便要改變一下心態了，否則發生事故時才「臨時抱佛腳」便太遲了。