由中華民國電腦稽核協會(CAA)同時也是專注資訊治理的國際專業協會的國際電腦稽核協會(ISACA)台灣分會,所舉辦的一場專題演講與綜合座談的主題「數位信任-企業資訊治理的關鍵驅動力」將傳達給大家,關於「信任」如何看待,如何啟動與如何持續。
「數位信任-企業資訊治理的關鍵驅動力」這個亮眼且近期備受企業所注目的議題,是今年八月中華民國電腦稽核協會(CAA)同時也是專注資訊治理的國際專業協會的國際電腦稽核協會(ISACA)台灣分會,所舉辦的一場專題演講與綜合座談的主題。論壇主持人由電腦稽核協會國際事務主委陳政龍先生擔任,長達120分鐘的演講與綜合座談,分別邀請金融監督管理委員會蔡福隆資訊處長,專題演講關於金融科技發展的基石:數位信任; 座談會與會貴賓也分別進行子題的演講,資誠智能風險管理諮詢有限公司唐雍為執行董事、勤業眾信風險管理諮詢股份有限公司副總經理白哲豪、KPMG安侯企業管理股份有限公司邱述琛執行副總經理,以及安永諮詢服務股份有限公司總監謝佳龍。後面我們將分別重點整理出來五位貴賓,從零信任邁向數位信任世界的觀察、觀點、策略與提醒。
金融科技發展的基石:數位信任
專題演講,首先登場的是金融監督管理委員會蔡福隆資訊處長進行一場以數位信任為基石,發展金融科技的分享,蔡福隆表示資訊倫理對於金融機構非常的重視,因此他提出2021年Forrester Research一份信任要素的報告書裡所提出的七個信任感要件「說明責任、一貫性、韌性、信任感、同理心、誠實性、透明性」,這同時也是金融機構對於機構負責人最高的期許,蔡處長表示組織帶出人們對我們的信任,才有可能延伸出人們對數位的信任。
金融科技發展的數位信任關係,蔡福隆提出網路環境上的數位信任與金融有著相關鏈結舉例,例如網路詐騙,此現象只有更多,沒有最多,這幾年常見到假冒金融機構的網站,或是透過簡訊連結來騙取消費大眾匯款進行詐騙,網路理財機器人提供給消費者投資績效,至今尚未能驗證透過AI演算法可以保證投資者穩賺不賠,網路上多元身分驗證模式,也是一種信任關係的互動等,有時候過於方便亦容易造成問題,也因此反覆驗證(亦可說反覆確認信任度)是為了安全的考量。區塊鏈的趨勢,例如加密貨幣、去中心化金融商品等,對投資人來說更需要有著一層信任度的建立。最後蔡處長提到數位信任的建立,也需要有數位的韌性,因為網路資訊串流在安全上,沒有百分之百可以掛保證安全無虞,唯有我們更要從整體思考的角度來建立信任度並且落實災害應變復原運作的機制,因此平日、定期的資訊演練與壓力測試就是一個非常好的基礎根基建立起數位信任感。
數位信任受高階管理層重視度攀升
座談會主持人電腦稽核協會國際事務主委陳政龍表示從零信任邁向數位任信的世界,數位信任的思維對於國際電腦稽核協會 (ISACA)有密切的淵源,ISACA創始於1967年,創會至今ISACA做了許多與資訊安全、隱私保護、風險管理、稽核的驗證服務及資訊治理的實踐,已成為資訊管理、控制、安全和稽核專業設定規範的全球性組織。然而這些部分的最頂層則源起於數位信任,數位信任甚至在ISACA的專區開設此議題長期著墨,因此對於數位信任議題,國際專業協會的國際電腦稽核協會(ISACA)台灣分會期許,使用者相信組織單位,組織單位保護使用者。這次活動同時也邀請四大國際會計師事務所貴賓講師來進行分享。
「企業面對數位信任,非趨勢而是事實。」資誠智能風險管理諮詢有限公司唐雍為執行董事上台演講的第一句話,其中也展示資誠全球普查的數據中呈現,數位任信的議題受高階管理層重視度大幅攀升,且對於數位信任的投資增加,約莫50%的高階管理層開始啟動規劃零信任機制、供應鏈風險管理與企業資安治理框架的投資。因此,唐雍為建議企業必須展開,了解風險、面對風險與轉移風險的knowledge know how的建立。
勤業眾信風險管理諮詢股份有限公司副總經理白哲豪則從數位信任生態系的角度跟大家分享生態系中互相影響的五個要素,分別為系統、資料、人、服務與道德。白晢豪說數位信任的核心是團體,非單一個體可以形成,當企業開始著手進行數位信任生態系時,數位化有幾點關鍵思維值得我們來省思,例如系統永續發展的思維、當責角色的延伸、科技帶來便利的同時也要保有相對應的安全機制等。
數位信任導向資安策略
KPMG安侯企業管理股份有限公司邱述琛執行副總經理給予數位信任的定義是彼此要先有共識,共識之後建立信任才夠紮實,另外就是彼此要釐清建立信任的目的,目標性為何。因此,邱述琛從使用者角度解析數位信任與零信任的關係互動須從整體性來看,從企業風險管理來看則可透過風險情境與評估來建立。一切從零信任開始。邱述琛最後強調,零信任架構的支柱與數位信任彼此需要的是透明度,充分的資訊與足夠的透明度。
最後壓軸演講貴賓,安永諮詢服務股份有限公司總監謝佳龍表示數位信任面臨的三大挑戰,隱私是使用者最關心的領域,第二挑戰是資安,隨著駭客接收到的資源越來越多的時候,透過網路攻擊和勒索軟體的威脅持續提升與加重,第三個關鍵挑戰則是當責,當資安事件風險提高,企業更需要能承擔責任的法律框架。謝佳龍提供透過強化資安建立數位信任的五個步驟,導入零信任架構、採用智慧資安威脅監控與回應、確保最小權限原則、建立以分析為導向的程序以及建立24×7託管資安服務。
這場「數位信任-企業資訊治理的關鍵驅動力論壇」匯集多位深厚經驗輔導企業資安、治理風險管理的菁英,帶著我們大家認識數位信任趨勢、面臨的挑戰、克服挑戰的策略,以及再三的提醒企業資訊資安單位高階與執行人員,信任來自人與人間的互動所長期堆疊,因此信任的第一步就是與企業組織進行良善的溝通以達成共識,攜手核心的共識,共創數位信任。