文/游政卿(合勤投資控股資安長)
這份報告很真實,也很貼近台灣企業的現況。
我看完之後,其實重新思考了 CISO 這個角色在組織裡應該扮演什麼樣的位置。裡面的資料不只是統計,而是我們每天在現場碰到的那些矛盾與拉扯,從資料看見現場的矛盾與轉折。以下幾個觀察,是我結合報告內容和實務經驗的一些心得。
[ 加入 CIO Taiwan 官方 LINE與 Facebook,與全球 CIO 同步獲取精華見解 ]
一、CISO 角色的轉變:不只是懂技術,更要能說「人話」
報告提到,大約有四成的資安長仍是由 CIO 兼任。這並不意外,也不一定是壞事。
CIO 對架構與技術都熟,但當資安議題牽涉到營運中斷、品牌信任或法規壓力時,事情就超出 IT 的範圍了。
我覺得現在的 CISO,不能只會防禦,更要會「翻譯」。要能把技術風險轉成董事會聽得懂的語言。
董事會不想聽你買了幾道防火牆,而是想知道「這筆投資能不能減少營運風險?」「能不能讓品牌更穩?」
在合勤集團,我幾乎每次會議都會提一句話,「資安不是支出,是風險投資」。
只有當資安進入經營思維,組織的文化與決策邏輯才會真正改變。
[ 推薦閱讀:〈快速啟動運行,進行風險評估〉讀後心得 ]
二、預算變多,不代表安全變強
報告指出,有 58% 的企業預計在 2026 年增加資安預算。
這當然是好事,但我常提醒同業,「錢多,不一定代表安全變好」。
多數企業還是把預算花在終端或地端防護上,雲端防護卻只佔一成多。
在混合辦公與雲端應用成為主流的今天,這樣的配置其實不太合理。
更值得注意的是,近一半的企業只希望「符合法規就好」,這樣會讓投資變成一種打勾動作,而不是策略性的提升。
我常跟團隊說,重點不是買更多設備,而是要讓系統能看得更快、反應更準。
SOC 的行為分析、事件關聯與可視化,才是能真正提升防禦韌性的地方。
三、供應鏈不是合約問題,而是責任要一起扛
這份報告裡我最有感的一段,是關於供應鏈資安。
現在很多企業的做法,還停留在用合約條款或問卷檢核,看似有制度,其實防禦力有限。
有高達 79% 的企業還沒導入 SBOM(軟體物料清單),代表對軟體組成與漏洞來源幾乎沒有掌握。
我一直主張,供應鏈應該進化成「責任鏈」。
合約只是底線,真正的防禦要靠雙方一起建立標準、定期演練與持續驗證。
在合勤,我們要求供應商必須具備 PSIRT 或 CSIRT 的基本能力。
因為資安韌性從來不是單一公司的強,而是整個生態系的穩。這也是面對國際法規與客戶審查時,最能展現信任的基礎。
[ 推薦閱讀:資安雙面刃 生成式 AI 三大風險與機會 ]
四、生成式 AI:別怕它,但要懂得用它
報告提到,超過六成企業允許員工使用生成式 AI,但有三成多沒有明確規範。
這很符合我看到的現況——大家都在用,但制度還沒跟上。
最常見的風險,就是有人誤把機密資料輸進去,結果資料外洩。
不過,我認為 AI 不是敵人,反而是防禦的新助力。
在我們 SOC 的經驗裡,AI 幫我們分析大量事件紀錄,讓小團隊也能維持效率。
重點不是「能不能用」,而是「怎麼用得安全」。
要先建好邊界,讓 AI 幫助防禦,而不是製造破口。這既是技術議題,也是一場文化的重新適應。
五、從工具導向走向文化導向
報告最後談到資安文化,我覺得這是目前台灣企業最該關注的部分。
技術可以外包,預算可以追加,但文化這件事,只有自己能改變。
再多制度都比不上大家願意一起參與。資安文化不是靠一場教育訓練就能建立,而是要讓每個人都知道自己該負的責任。
我常說,CISO 有點像傳教士,要不斷地講、反覆地提醒,讓資安從意識變成習慣。
當高階主管願意帶頭、各部門願意配合,資安就會變成企業 DNA,而不只是稽核清單上的一欄。
這正是許多企業最容易忽略的地方。
[ 推薦閱讀:供應鏈動搖企業防線 資安治理問責全面升級 ]
結語
這份報告反映出台灣企業的真實現況,制度與預算都在進步,但要讓資安真正做到位,還需要文化與思維的改變。
對 CIO 或資訊主管來說,懂得用風險語言跟董事會對話,已經成為新常態。
CISO 的價值,不只是防守,而是帶領企業在風險中持續前進。
這就是我們每天在做的事——讓資安成為企業競爭力的一部分。
我也希望未來有更多產業能一起建立「資安信任網」,從經驗交流到聯防合作,讓整個台灣的防線更穩、更有韌性。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
