在生成式 AI、雲端與跨國供應鏈快速演進的浪潮下,企業的資訊環境變得前所未有地複雜,駭客攻擊面也大幅擴張。CISO 需透過量化風險、架構策略與跨部門溝通,引領企業在高度不確定的環境中提升韌性、強化競爭力。
採訪/施鑫澤·文/林裕洋
在企業積極運用生成式 AI 推動轉型下,資訊環境已從過去以內部資料中心為核心的單一架構,演進為橫跨雲端、多地部署、API、生態系供應鏈以及數百種 SaaS 服務的高度複雜系統。只是在此複雜環境下,遭受攻擊面也大增,在各種資安事件頻傳,最終整體營運成本也呈現倍數增長。
由於資訊安全已從早期「IT 管理議題」轉為與公司營運息息相關的「營運風險議題」。 而資安長(CISO)角色也從過往單純的技術主管,走向必須能與董事會直接對話、以財務語言等,清楚描述資安風險的關鍵角色。
Check Point Software 亞太區 CISO Jayant Dave 指出,新世代 CISO 任務早已不再是解釋防火牆、端點、EDR 等技術細節,而是要回答董事會最關心的問題,如資安投資可以降低多少風險、能減少營運時間多久、可以避免多少財務損失等等。因此,未來五年 CISO 將是站在企業營運核心的決策者,而非技術後勤單位。
CISO 話語權提升,運用營運與財務語言談資安
在現今企業技術環境比十年前更為複雜,但 CISO 話語權反而因為商務需求而提升,這也代表在熟悉資安技能與趨勢之外,也得擁有絕佳的說話藝術。一套有效說服方式不是解釋技術名詞,而是「清楚定義問題、量化影響」,畢竟董事會對 AI 模型、AML、EDR 產品等並不了解,但清楚知道當網銀中斷四小時會導致多少客戶無法交易,背後代表營收入損失的高低。所以 CISO 必須能掌握三種語言,分別是「董事會語言:營運、財務、風險容忍度」、「監管語言:保證與回應能力」、「技術語言:控制項、架構、效能影響」。
[ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 linkedin,與全球CIO同步獲取精華見解 ]
換句話說,CISO 最需要核心能力是「翻譯」,即是把技術議題轉換成董事會聽得懂的商務語言。畢竟當董事會聽到「資安投資與持續營運能力相關時」,資安就不會再被視為成本,而是一種必要的營運保險。
Jayant 指出,董事會不需要懂技術,所以 CISO 必須要相同語言與之對話。過去我在金融產業任職時,曾使用機器學習模型將欺詐損失降低 60%,此類案例非常容易在董事會中產生共鳴,畢竟「投資結果」具體可見。建議臺灣企業多採用國際常用、可視覺化的管理框架,例如亞太監管機構普遍採行的 CRI(Cyber Risk Institute Framework),會將控制項成熟度以數值或分級呈現。
如此一來,董事會能一目了然知道目前風險在哪裡、差距,以及資安投資可改善哪個安全面向。換句話說,CRI 讓 CISO 能把複雜的攻擊面具象化,讓預算變成可衡量的營運投入現今資安成為企業營運不可或缺的重要一環,CISO 也從傳統守門人邁向企業韌性架構的共同設計者。可預期未來五年,能夠以商務語言講資安、能將 AI 與雲端納入整體架構、能掌握供應鏈與地緣政治風險的 CISO,將成為企業最重要的戰略夥伴。
AI 帶來兩大效益:首重模型安全與風險
根據 Check Point Software 公布「2025 年雲端安全報告」指出,隨著混合雲、多雲和邊緣架構不斷擴展,許多組織仰賴的安全模式已難以因應現況。報告中指出,65% 的企業在過去一年內曾遭遇雲端安全事件。令人意外的是,僅有 9% 在第一時間察覺安全事件,更僅有 6% 即時進行補救,使入侵者得以潛伏在雲端環境中未被發現。
AI 與雲端導入速度超過全球大部分企業的原先預期,讓 CISO 面臨「環境比工具變化得更快」的挑戰。過去企業多依賴內部資料中心,如今則是「On-prem」、「Multi-cloud」、「混合環境」、「跨國部署」、「遠距員工」、「SaaS 服務生態系」等並存。此種分散架構導致傳統單點資安產品不再足以支撐企業需求,因此 Check Point 推動 Cybersecurity Mesh、雲端原生安全平台(CloudGuard)與整合式端點架構(Harmony)等策略,就是希望透過「整合與可視性」來降低企業在複雜性上的投資成本。
「AI 技術有兩個最明顯的企業價值,首先是可降低人力成本,AI 模型能處理 70~80% 分析工作。其次是能提升偵測與反應速度,可減少誤判、降低因事件擴散造成的損失。未來企業在 AI 相關投資的決策上,必須同時考量生產力提升、AI 模型風險等兩大因素,而 Check Point 任務則是提供能被量化的安全評估與風險指標,使投資更透明。」Jayant 解釋:「近期,Check Point 收購 Lacira 主因正是要補足 AI 風險評估缺口,協助企業在部署 AI 應用前,就先了解模型本身的風險、資料曝露情境與可能的濫用方式。」
供應鏈成最大攻擊面,臺灣成攻擊熱區
在全球資安攻擊事件中,愈來愈多案例來自「供應鏈中的弱點」。尤其是製造業與金融業,一家企業可能擁有 3,000~9,000 個供應商,攻擊者往往不會直接攻擊大型企業,而是挑選防禦能力較弱的供應商下手。根據 Check Point Software 公布「製造業安全報告」指出,全球製造業每個組織平均每週遭受 1,585 次攻擊,較去年同期增加 30%,其中臺灣更以平均每週高達 5,100 次成為攻擊熱區。
整體而言,勒索軟體仍為製造業面臨的主要威脅,然供應鏈互聯性放大了攻擊的連鎖效應,進一步擴大產業風險。相較於其他國家,臺灣供應鏈風險更為嚴峻,除跨國製造的產業特性之外,也因地緣政治與國家級攻擊的風險而更加敏感。
Jayant 直言,在供應鏈攻擊成為主流下,供應鏈安全成熟度將決定企業整體的安全水位。只是現今許多企業仍使用 Excel 問卷、年度一次審查等方式來評估供應商,難以因應變化快速的資安威脅。企業應採取「供應鏈簡化」策略,首先是透過減量淘汰不必要或低品質供應商,其次是按「關鍵性」與「風險」將供應商進行分級。最後是把高關鍵供應商視為內部系統的一部分,納入應變計畫與標準作業流程。
在 AI、雲端與地緣政治交織的時代,資安不再是後勤,而是企業生存的核心能力。 Check Point 希望在變動快速時代,扮演企業在安全架構、AI 風險、雲端防禦與人才培育上的長期支持者。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
