傳統風險管理模式與挑戰






                             2014 年 Gartner 發表一篇「 Malware  Is Already Inside  Your

                        Organization; Deal With It」報 告，認為惡意軟體已經侵入您的組織，
                        沒有完美一勞永逸的資安防護工具   (Perfect prevention is
                        impossible)，企業無法永遠有效成功阻止針對性攻擊的入侵。因此

                        企業 應永遠假 設自身正 受攻擊， 在資安的 戰略部署 上，整體 性的 持

                        續防禦流程 (Continuous  Threat Protection Process)，比預防駭客的
                        攻擊更重要。資安的工作重點與投資應該平均的轉移到預測、預防、
                        偵測 與回應的 體制建立 。這篇報 告扭轉了 過去傳統 的觀念， 也獲 得

                        廣泛的回響。

                             傳統的資安防護觀念就像是中古世紀用護城河與高牆來保 護 城
                        堡抵 擋敵人入 侵，主要 著重在預 防與保護 ，以降低 資安事故 發生 的
                        可能 性。然而 在「萬物 皆連網， 萬物皆可 駭」的今 天，必須 有新 的

                        因應策略：首先要接受「城牆遲早會被攻破」，資 安事故終將發生的

                        事實 。並且隨 著資訊科 技的快速 變化，金 融科技快 速改變金 融業 的
                        生態 的同時， 網路威脅 與風險亦 不斷變化 ，金融機 構的資訊 安全 防
                        護規 範與措施 必須持續 改善才不 會因科技 發展過時 。而且警 覺惡 意

                        程式 一定進得 了企業內 部網路， 然而問題 是，如何 及時發現 以避 免

                        更大 的損失發 生？並以 鑑識科技 的手法在 過程中發 現潛伏的 惡意 程
                        式 ，這正是 預防勝於 補救、化 被動為主 動的轉型 思維。 (張 晉瑞，
                        2016)。

                             我們必須承認，資訊環境正面臨前所未有的風險，且超過 資 訊

                        科技 所能掌握 。並且也 無法單靠 科技來解 決資安問 題，因為 不管 是
                        輕忽 或惡意， 都可能造 成資安危 機，因此 必須加強 人員的警 覺性 與





                                                                                                         395