中華公司治理協會

NEWS

美國BDO發佈最新的網絡治理調查報告

【資料來源】    Business Wire
【發佈日期】    2017年 9月26 日
【介紹者】    閻書孝研究員
【簡介】

「網絡治理調查報告」是由美國BDO公司治理實務(Corporate Governance Practice of BDO USA)於2017年8月所執行。該調查蒐集了140位公開發行公司董事關於網絡安全治理的意見，這些公司盈收在2.5億美元至10億美元以上。

美國會計與顧問領導性機構BDO所發佈的最新調查顯示：超過四分之三（79％）的受訪者表示，比12個月前，他們的董事會更投入公司的網絡安全事宜。而類似比例的受訪者（78％）表示，在過去一年，公司增加了對防禦網絡攻擊的投資，預算增加的幅度平均為19％。這是連續第四年，董事會成員表示他們投入到網絡安全的時間與預算有所增加。儘管趨勢上正向發展，但是調查也發現，企業仍不願對外分享網絡攻擊的相關資訊。

美國BDO國際網絡安全領導人Gregory Garrett說，美國BDO過去四年調查公開發行公司董事在規劃及降低公司所受的網絡攻擊上所發揮的功能。年度調查顯示，網絡安全議題在董事會的重要性持續升高，董事聽取相關簡報的頻率更頻繁，並且增加預算來處理重要的相關議題。今年的研究也顯示，董事會意識到了勒索軟體威脅增高，而且多數企業都積極地處理這個風險。調查也顯示出一個明顯的弱點：公司仍無法分享他們所受到的網絡攻擊相關資訊。分享相關受駭資訊，是防範駭客的關鍵，但只有四分之一的受訪者表示，公司會對外分享這些資訊。他認為這個需要改變。

近五分之一(18%)的受訪者指出，他們的公司在過去兩年間曾受到網絡攻擊，這個比例跟兩年前的調查結果差不多(22%)。

多數受訪者(61%)表示，他們的公司具備網絡攻擊事件的因應計畫，但也有五分之一(16%)受訪者表示未有任何計畫，以及有近四分之一(23%)表示，他們不確定是否有計畫。有擬定計畫的公司比例，與一年前的調查差不多(63%)，但是比起2015年有明顯進步：當時僅不到一半(45%)受訪者表示有計畫。

近五分之四(79%)的受訪者表示，他們的董事會在過去12個月對網絡安全更為參與。絕大多數(91%)受訪者在過去一年至少有聽取一次網絡安全簡報—其中有28%是每季一次、有21%是每半年一次、每年一次的是36%，另外還有超過一季一次的有6%。

互相分享從網絡攻擊分析所得的資訊，是防範駭客的重要關鍵，而且美國政府一直持續與企業溝通，當企業遭受到網絡攻擊時，如何聯繫相關聯邦機構。

不幸的是，當問到是否公司會分享網絡攻擊相關資訊時，只有四分之一的受訪者(25%)表示會對外分享（這與2016年的27％幾乎無異）。類似比例的受訪者(24%)表示，他們並未與任何人分享資訊，以及近半(51%)公司不確定是否有進行分享。

而那些會與外界分享的受訪者，絕大多數的分享對象(86%)是對政府機構（FBI、國土安全部），近半(47%)是對資訊分享暨分析中心(ISAC)，非常少數(8%)是與競爭者。

今年初〝Wanna Cry〞的網絡攻擊衝擊超過150個國家的企業，大大地提高了眾人對勒索軟體威脅的意識。當問及是否公司已經採取降低勒索病毒入侵弱點的措施，大多數受訪者(60%)指出他們正在著手處理中。而對於會被勒索病毒鎖定的弱點，多數則(58%)越來越重視強化修補程式的管理，並提高資料備份的頻率(58%)。而近半(46%)表示，他們已加速修復資料的能力。

今年初，美國註冊會計師協會(AICPA)推出了「網絡風險管理架構」(Cybersecurity Risk Management Framework)─也被稱為SOC網絡安全，提供公司在設計風險管理計畫與溝通其有效性上，更積極的方法。但當問到相關措施時，只有40％的受訪者知道這一個舉措。

那些知道這個自願性框架的受訪者，超過三分之一(35%)受訪者指出公司可能會運用框架中的準備測試（readiness testing），及會計師對公司網絡計畫的審計服務，超過四分之一(27%)的受訪者指出，他們僅會運用準備測試於公司相關計畫中，很少數(6%)表示會請會計師進行對公司網絡計畫的審計服務。而近三分之一(32%)表示他們既沒有規劃運用這份架構(14%)、也不確定是否會做(18%)。

【網址連結】
http://www.businesswire.com/news/home/20170926005267/en/BDO-USA-Survey-Cyber-Governance-Reveals-Continued

BACK PAGE