老闆缺乏 IT 觸覺、港企居危思安
筆者覺得如果對於科技認識不足,沒有理解背後風險,又渴望利用新技術快速掘挖更大利益,企業猶如跟黑客作必輸的賭博。NTT Com Security對於企業風險意識調查簡直是對這類企業當頭棒喝。企業決策人對資訊安全認識及危機感不足,資安的重視之間還存有斷層,情況令人擔心。
資訊重要性被高層低估!
NTT Com Security委託市場研究公司Vanson Bourne在今年9月訪問了全球包括香港800位非IT專業的高級商業決策人,受訪企業中,有45% 僱有1,001至5,000員工,有28% 僱有5,000以上員工,業務收入均介乎一億至一百億美元。相對來說受訪企業具有相當的規模,但大型企業的資訊風險在業務比重原來不被重視。
近三分二企業決策者預計資訊安全問題會發生,但只有不足一成視資安缺失為最大業務風險,證明水能載舟亦能覆舟的道理在現代商管學並不算重要,反而競爭對手、員工技能及盈利下滑才是這班老闆的首要風險。在香港區受訪企業當中只有一間視資訊保安為首要重任,平均而言資安的重要性只是排第8位,如此商業密集的香港,商業競爭才是大部份企業的首要考慮。
企業不信資安問題影響收入
香港大部分企業認為本身的數據很安全,企業尤其重視客戶數據。但面對發生資安事故,企業對長遠的時間及金錢損失認知度不足,一旦數據被竊,有6成受訪者認為有損商譽,56% 認為會打擊客戶信心,然而過半 (59%) 認為長遠影響微不足道,當員工為每年營業額增長感到壓力時,高層竟可以當資安危機「微不足道」,假設企業研發計劃被競爭者得悉,市場的領導地位笈笈可危,對員工士氣打擊尤大。當有17%企業相信不會對收入構成任何影響時,情況是否如他們所想般簡單?
資安問題非等價交換
當業務有一億元時候,該用甚麼價錢去完善企業安全呢?企業的IT預算平均有一成用於資訊保安,這就是決策者的風險承受能力?現今資訊安全問題無日無之,嚴重者往往使企業蒙受巨額損失。資安問題更牽連甚廣,不僅折損商譽、影響股價,甚至使企業無法吸納優秀專才,有25%受訪者承認資安事故對財政影響毫無頭緒,所以決策者既不了解也漠不關心,更教人憂心忡忡。
筆者簡單計算:資安問題令系統停機時間達1%,一年就有87.6小時暫停業務,當受影響員工人數是10%,一間1000人企業每年有100人有多近兩星期「假期」(因為業務暫停),當然這假設情況是事故都發生在辦公時間及系統完全不能正常處理業務,但已能見證企業競爭力受到甚麼影響。
IT人教育企業決策人
大部分高層人員未有重視資安風險,而欠缺IT專業背景令他們只著見科技帶來的優勢。作為IT從業者,IT人必須加強教育企業決策人,讓他們充分明白數據安全問題的廣泛影響;資安風險應計算在整體風險中一併考慮。