當前網路安全策略的失敗,往往源於將其視為單純的技術問題,而非業務風險管理職能。本研究報告基於Ornua(註)首席資訊安全長Adnan Ahmed的洞見,深入探討了如何建立與企業營運目標深度整合的網路安全路線圖。成功的策略必須從風險評估開始,將營運技術(OT)納入考量,推行全面的零信任原則,並將組織韌性置於法規合規之上,透過跨職能協作和文化培育,確保網路安全成為業務運作的根本支柱,而非阻礙。
註:
Ornua 是一家愛爾蘭的乳製品合作社,也是愛爾蘭最大乳製品出口商,旗下最知名的品牌是 Kerrygold。Ornua在全球約 2,800–2,900 名員工,分布在 10 個事業單位與 13 個生產設施,產品出口到 超過 110 個國家,是愛爾蘭乳製品的主要國際推手。
網路安全策略的根本迷思與業務契合度
Ornua的首席資訊安全長 Adnan Ahmed在本次 Help Net Security 的訪談中,探討了企業如何建構與業務目標相符的網路安全策略。 Ahmed發現企業最大的錯誤在於,在進行網路安全工作時,往往從技術層面著手,而不是優先考慮風險和業務契合度。網路安全常被誤解為技術問題,但實際上它是一項業務風險管理職能。如果未能及早建立起這種聯繫,往往會導致決策分散,高階主管參與度不足。有效的網路安全策略應從一開始就融入業務目標之中,這需要識別業務的關鍵資產,評估潛在威脅及其動機,並評估資產遭到入侵的影響。
克服常見策略差距:文化、合規與第三方風險
另一個常見的差距在於人員和文化。人為錯誤仍然是網路攻擊的主要來源,然而,企業卻過度重視技術,而忽略了員工的安全意識和培訓。我常說,安全始於家庭,當員工了解如何保護自己和家人時,他們就會把這種意識帶到工作中。 滿足監管要求固然重要,但合規並不等於安全韌性。攻擊者並不在乎你是否滿足了所有要求,他們只會尋找漏洞並加以利用,全面的縱深防禦策略必須涵蓋IT和OT兩方面。 最後,切勿忽視第三方風險和事件回應。隨著供應鏈攻擊的日益增多,企業必須評估供應商的安全狀況。事件應變計畫必須經過實際操作測試,並包含業務連續性和災難復原措施。至關重要的是,當事件發生時,必須對計劃進行測試,而不僅僅是撰寫計劃。
CISO的三年優先路線圖:風險匹配、零信任與韌性
如果你今天要為一位制定三年路線圖的首席資訊安全官 (CISO) 提供建議,你的前三個優先事項是什麼?Ahmed提到他會專注於三個能產生影響的核心優先事項:
- 首先,要識別並優先考慮組織中最關鍵的資產,包括營運技術 (OT) 和工業控制系統 (ICS) 環境以及供應鏈依賴關係,安全投資應與這些風險相符。很多時候,策略的起點是購買工具而不是評估風險,這是個錯誤。
- 零信任原則必須同時應用於IT和OT環境。在食品製造等行業,保護OT與保護資料同等重要。資產可見性、網路分段、安全遠端存取、身份驗證和持續監控等核心功能必須被視為關鍵組成部分。
- 雖然遵守監管規定是必要的,但在實際發生網路安全事件時,僅僅遵守規定是不夠的。合規並不能在出現問題時保護您,企業必須制定並定期測試事件回應計劃,確保業務連續性措施到位,並培養安全文化。技術總會有失效的時候,而快速偵測、回應和復原的能力才是企業維持營運的關鍵。
簡而言之,有效的網路安全策略應從風險匹配入手,在IT和OT領域貫徹零信任原則,並強調超越合規性的韌性。網路安全不僅是一種防禦措施,更是維持業務運作的根本。
將網路安全轉化為業務推動力
安全領導者與高階主管溝通時,最有效的方式是「說業務的語言」。這意味著要避免使用過多的技術術語(如防火牆、MFA、加密等),而是將網路安全投資的價值,轉譯成業務營運的關鍵指標。例如,不是單說「我們需要多因素驗證(MFA)」,而是解釋MFA如何降低欺詐風險、保護客戶信任和品牌價值。在製造業中,安全指標應與生產系統的正常運行時間、供應鏈韌性等業務KPIs連結,證明安全是維護收入和聲譽的關鍵推動力。
超越防禦,維持營運的根本之道
現今的威脅,特別是針對OT環境(如食品製造業的生產線和冷凍系統)的勒索軟體攻擊,其影響已遠超資料損失,可能導致生產中斷,甚至危及產品安全。因此,CISO的策略必須以韌性為中心,透過跨職能協作和全面實施零信任,主動管理IT與OT融合所帶來的風險,同時積極應對由AI驅動的社會工程和隱蔽的供應鏈攻擊。將網路安全策略與核心業務目標對齊,並定期進行實戰測試,是確保企業在數位時代持續營運並實現長期增長的首要前提。
資料來源:https://www.helpnetsecurity.com/2025/11/14/adnan-ahmed-ornua-cybersecurity-strategy-roadmap/