台灣「資安外洩」往往是公司高層造成！專家：人資的資安不是科技，而是人性

這幾年，我們常聽聞資安事件。最嚴重的就是台灣半導體業，不時傳出有中國高薪挖角，或是通過上下屬關係誘發前同事提供營業秘密，造成不可彌補的商業損害。除了營業秘密，這幾年更有各種會員或是員工個資遭到外洩，光去年就有華航、iRent、宏碁、威秀影城、Youbike等公司的遭駭客入侵。

根據IBM的「2023資訊外洩成本報告」，平均一個資訊外洩的成本已經高達445萬美金（約新台幣1億4,225萬元），在過去3年成長了15%，有高達51%的企業計畫提高資安的投資，這是因為有資安投資的企業不僅僅可以更快找到外洩（少108天），更可降低損失（少176萬美金）（約新台幣5,626萬元）。

雖然金管會已經開始要求大型上市櫃公司必須設置資安人員，但是台灣企業對於資安的意識普遍還是比較薄弱。在「2023資誠台灣領袖調查」中，只有31%的台灣企業領導人願意投資在網路安全或是數據隱私，比全球48%還低。不過，隨著全球對資安的意識越來越高漲，台灣企業也開始意識普及，加速追趕。

發生事情才有動作

「台灣企業普遍要發生事情才會開始有動作，」資誠智能風險管理諮詢公司執行董事唐雍為觀察。他曾經服務一家台灣廠商，被國外的客戶要求要在短短3個月內完成資訊安全管理國際標準ISO27001，不然就無法獲得訂單。一般這個認證需要至少要6～9個月才能完成。

很多人可能會認為資安是資訊長或是資安長的事，但其實人資長在當中扮演舉足輕重的角色。根據美國電公司Verison做了15年的「2023資料外洩調查報告」，有近74%的資安風險來自人為錯誤，包含操作錯誤、權限錯誤等。這幾年的遠距工作讓資安的維護更具挑戰，疫情期間資安事故成長了6倍。

隨著競爭越來越激烈，如何讓公司員工有資安意識，建立起落實資安的工作流程，人資長是重要的推手。

也難怪，美國人力資源認證協調整了專業人資認證（PHR，Professional in Human Resources Cerfiicate）的考試內容，從今年3月開始將增加占比高達10%的「人力資源系統管理」。在資深人資認證（SPHR，Senior PHR）中，甚至還新增了「資訊安全」的內容，凸顯人力資源專業必須要開始掌握和參與企業的資訊安全。

(責任編輯 / 王穎皓)