在AI與雲端驅動的時代,企業的防線早已延伸到看不見的邊界。效率與創新讓市場運轉更快,但也讓風險蔓延得更廣。從供應鏈中斷、資料外洩,到系統遭勒索導致營運停擺,這些無聲的危機正考驗著企業的真實韌性。

「企業的韌性,不在於防守多嚴,而在於出事時能否被信任。」KPMG安侯企業管理董事總經理謝昀澤強調,資安的核心從來不只是防火牆或加密技術,而是治理能力──當風險發生時,企業能否沉著應對、誠實通報、維持合作夥伴的信任。

因此,資安不再只是IT部門的預算項目,而是攸關企業能否在變動中持續前行的「韌性投資」。在當今高度互聯的世界,防禦只是起點,能否被信任才是最終考驗。

董事會成為資安治理的中樞

長期以來,許多企業把資安當成「不出事就好」的任務。但近年來,隨著法規趨嚴與環境劇變,企業開始重新思考資安在組織中的角色。歐盟的GDPR、NIS2與AI Act相繼上路,台灣新版個資法也即將施行。這些規範不僅代表法遵壓力,更揭示資安正從技術問題升級為治理課題。

「越來越多董事會主動要求資安報告,甚至將資安事件列為固定議程。這不只是監理壓力,而是治理意識的覺醒,」謝昀澤觀察。

KPMG安侯企業管理執行副總林大馗觀察,董事會對資安的重視程度正在提升,過去只是聽取例行報告,現在會追問:「損害多大?根因是什麼?需要多少資源改善?未來如何預防?」當高層從財務、營運與品牌層面思考資安時,意味著它已被納入公司治理的核心。

當資安進入董事會議程,企業的思維也隨之轉變:從避免事故,走向建立信任。這不只是制度的改變,更是文化的轉折。

謝昀澤指出,資安不只是防火牆與加密技術,而是讓企業在風險中仍能被信任的治理能力。

從合規義務到持續行動

治理意識覺醒之後,下一步是讓意識轉化為具體行動。對出口導向的台灣企業而言,歐盟法規的壓力正在逼近,歐盟的GDPR與NIS2要求企業不僅要有防禦能力,還要能以制度證明自身合規與安全治理;AI Act則聚焦於高風險AI的透明度與監督機制,讓「可信任技術」成為進入歐洲市場的新門檻。

台灣企業面對歐盟資安法規時,「不必被這些國際法規嚇到,先找共通原則,做差異分析(Gap Analysis),再依風險高低分階段落實,這才是務實路線,」林大馗強調,尤其是歐盟要求的Privacy by Design概念,是從設計階段就將安全與隱私內建於流程之中,補救永遠趕不上設計,唯有在制度與文化層面提早投資,企業才能真正培養長期的韌性。

合規不只是法律義務,更是展現治理能力與信任文化的具體行動。當資安管理成為企業運作的一部分,它就不再是「防禦成本」,而是「經營資產」。

林大馗強調,企業面對資安挑戰,應從合規走向行動,讓安全與信任成為文化的一部分。

供應鏈的破口揭示韌性價值

資安風險最脆弱的地方,往往不是企業內部,而是在供應鏈。2022年,Toyota的供應商Kojima Industries(小島工業)系統遭駭,導致日本14座工廠全面停擺;三年後,Jaguar Land Rover在英國也因網路攻擊而停工三週,數十家供應商同步受創。

「在全球化供應鏈中,駭客不必攻擊最強的主體,只要滲透最薄弱的一環,就能癱瘓整個體系,」林大馗提醒,企業應該以投資觀念經營資安風險:建立備援供應鏈、重新檢視採購條款,並以SLE(Single Loss Expectancy,單一事件損失值)量化停擺代價,「當你算出停機一天損失多少,就不會再把資安預算當浪費。」

這些事件提醒企業,資安不只是防線,更是確保營運不中斷的商業策略。唯有將資安視為持續投資,企業才有足夠的韌性抵禦下一場風暴。

新時代的防線:AI與演練缺一不可

供應鏈資安事件提醒企業強化外部防線,而生成式AI的普及,使得內部風險也成為新戰場。AI帶來自動化與效率,同時也讓資料外洩與模型污染的風險倍增。

因此,KPMG率先在內部建立 AI 資安規範:禁止使用公開AI平台,改採私有雲架構的商用AI,並導入DLP(防資料外洩)、權限控管與Data Labeling(資料分級)。「AI可以用,但要在可控範圍內用,這才是建立信任的關鍵。」謝昀澤指出。

為強化資安事件的因應能力,企業必須在危機中建立「行動的韌性」。KPMG曾協助一家上市公司舉行資安演練,模擬遭勒索軟體攻擊。演練開始三分鐘,全場無人反應。「每個人都很熟悉自己的Incident Response Plan(IRP),卻沒人知道誰該先動,」林大馗回憶。

林大馗建議,企業應該將IRP升級為Playbook(情境劇本),針對不同事件設定明確流程與分工,「就像飛機面臨到緊急狀況時的check list,危機發生時不慌亂,只需對照當時的情境,按照步驟執行。」

貼近實戰的演練讓制度有了生命,也讓資安從紙上規範變成組織的反射神經,鍛鍊了企業不只在平時守得住,更能在出事時動得快。

信任是企業最長遠的資產

資安的目標不是零風險,而是建立高度信任。「當企業能證明自己即使被攻擊,也能穩定運作、誠實通報、快速復原,那就是信任,」謝昀澤強調,資安是一種文化,而非技術專案,從董事會的治理機制、供應鏈的韌性設計,到AI與資料隱私的管理,企業需要讓資安內化為經營日常的一部分。當它成為組織文化,信任就會成為企業的護城河。

「資安投資不是成本,而是品牌的保險。當危機發生時,能否被信任,決定了一家公司能不能走得更遠,」謝昀澤指出。

在這個風險與創新並行的時代,企業唯有把資安視為韌性投資,才能在下一次衝擊來臨時站得更穩、走得更遠。KPMG安侯建業也將持續協助企業,以信任為基礎、以韌性為核心,打造能經得起未來考驗的安全治理體系,讓「信任」真正成為企業長遠競爭力的來源。

KPMG資安治理五大建議

1. 從董事會啟動治理→將資安納入董事會議程,建立報告與討論機制。
2. 導入合規思維→以GDPR、NIS2、新版個資法為基準,進行差異分析並分階段落實。
3. 強化供應鏈韌性→重新檢視採購契約與備援策略,降低單點失效風險。
4. 建立可驗證的防護→結合國際認證、外部風險評分與紅隊演練,形成三層防線
5. 落實AI與資料治理→導入私有雲AI與DLP防線,建立資料分級制度,讓信任成為企業競爭力。

AI 驅動的時代,唯有以「信任」為基礎的治理,才能讓創新持續前行。

想進一步了解如何在數位轉型中兼顧安全與韌性,歡迎造訪Cyber Security 數位智能風險顧問服務