亞太區網路安全支出不斷上升為何投資報酬率仍未能取信董事會
【作者】Sasha Menon
【資料來源】TechRepublic 
【發佈日期】2026年 2月 6日
【介紹者】閻書孝研究員
【審訂者】邱明志委員
【簡介】    

整個亞太區的網路安全預算正在增加。然而對許多資訊長與資安長而言，較難以啟齒的不再是安全為何重要，而是投資是否實際上帶來可衡量的價值。

從PwC最近的數據顯示，84％的亞太區組織在過去一年增加網路安全預算。表面上看起來，這顯示高階經理人強有力的支持。然而，實務上不斷增長的支出並未讓人放心，反倒招致董事會與財務長更尖銳的審查。 

隱而未現的緊張關係很簡單：更多投資並不會自動轉化為更明確的成果、減少事故發生或董事會的信心。

提高預算，結果卻停滯

對安全主管而言，這種脫節現象變得越來越難以忽視。根據亞太區另一份最近的報告，就算安全支出持續增加，過去的12個月，有91％的組織至少經歷一次網路安全事件，53％則遭遇多次。

同時間，45％的亞太區資訊長承認，他們在一些並非完全需要或完全使用的工具上投入過多資金。這不是指責安全團隊或策略。它反映一個現實環境—威脅快速演變、工具層出不窮，而成功難以用簡單術語定義。

從資安長角度來看，挑戰較少在於預算規模而更多在於效率：每花一塊錢究竟降低多少曝險？ 

為何董事會與財務長仍不相信

董事會與財務長不是質疑網路安全的重要性。他們質疑的是其投資報酬率。

不同於傳統資本投資，網路安全成果是機率性的。避免資料外洩、更快的偵測時間，以及縮小破壞範圍，都很少明確地在資產負債表顯現。安全團隊常用的指標（比如工具覆蓋率或警報數量）無法自然轉化成財務風險的語言。

因此，很多資安長發現自己在報告事件的發生而非事件的衝擊。當預算增加，但事故仍然持續，就演變為難以解釋組織究竟是變得更有韌性或只是變得更複雜。

技術績效與經營表現之間的落差如今是亞太區網路安全策略的核心問題。

亞太區的現實：同樣的壓力，不同的處境

雖然該區內投資報酬率是一致的，但其具體表現形式則因市場而異。

在澳洲，監理壓力與董事會問責制使得網路安全支出在管理階層更為透明。資安長受到越來越高的期待展現投資如何能與降低風險及營運韌性對齊，不只是遵循而已。

在新加坡，安全成熟度一般來講更高，對話已轉向效率以及在經常性成本與資源限制下，現有的安全模型是否可持續應用。董事會想要確信現有的投資得到最佳化，尤其是當整個企業都在嚴格要求成本紀律。

在印度，採用企業規模層級的網路安全正加快速度。隨著安全成為重要的成本中心而非權衡性的支出，高階領導人對於優先順序與價值問得更早且問得更細。

就這三個市場來看，共同的主題不是投資不足。它們需要的是更明確的理由。

對亞太區資訊長與資安長的意義

亞太區網路安全對話正日趨成熟。資訊長與資安長發現自己當前要回答的核心問題是：「這個支出說得過去嗎？有效嗎？與企業實際面對的風險相符嗎？」

這種轉變要求對安全價值界定不同的範圍。這種轉變把技術成果與企業曝險、容忍力與韌性連結起來。這也需要更清楚的定義—投資到哪裡正確切地改善安全態勢，以及投資到哪裡可能增加成本卻沒有相對應的效益？ 

這並非關乎做得更多。它關乎的是能夠自信地解釋組織獲得什麼成果以及為何現在它至關重要。

【網址連結】
https://www.techrepublic.com/article/cybersecurity-roi-in-apac/