組織內的網絡安全，到底應該由誰負責？

在不少企業裡，網絡安全其實是一個大家都知道重要，但沒有人真正說得清楚誰負責的議題。平時看起來好像運作正常，一旦真的出事，才發現責任分工其實很模糊。

有人怪 IT，有人怪員工，有人怪流程。但問題通常不是單一角色失誤，而是一開始就沒有把責任講清楚。

最常見的誤解：網絡安全就是 IT 的事

很多公司理所當然地認為，只要有 IT 部門，安全就有人管。他們設定防火牆、管理帳號權限、處理系統更新，看起來也確實很安全。

但現在的攻擊，很少只發生在技術層面。

釣魚郵件是針對人，不是系統。雲端設定出錯，往往是為了趕專案進度。部門私下用 SaaS 工具，是因為流程太慢。等 IT 發現時，風險其實早就存在。

IT 能處理技術控制，但無法為每一個業務決策承擔後果。

資安團隊往往只有責任，沒有決定權

有些組織設有資安團隊，負責風險評估、政策制定、安全審查。他們通常很早就看到問題，也願意提出警告。

但很多時候，他們說了不算。

資安可以建議不要對外開放某個系統，但產品還是可能照常上線。資安建議全面啟用多因素驗證，但業務單位嫌麻煩，最後不了了之。

責任在資安，決定權卻不在資安，這樣的結構本身就很危險。

管理層的選擇，往往才是真正的風險來源

高層不會寫程式，也不會設定防火牆，但他們的決策直接影響整體風險。

為了趕市場而跳過安全審查，為了節省成本而縮減監控預算，為了營收而接受已知風險，這些看起來是商業決定，最後卻常常變成資安事故的起點。

很多事故事後被包裝成技術問題，其實源頭是管理層當初做出的取捨。

開發人員其實正在塑造攻擊面

現在的系統幾乎都是由程式碼堆疊而成。API、雲端權限、第三方套件，每一個選擇都會影響安全程度。

多數開發人員不是不懂安全，而是被進度追著跑。硬編碼金鑰、權限開太大、跳過安全測試，通常不是能力問題，而是時間壓力的結果。

如果安全被視為之後再補的事情，攻擊面自然會越來越大。

員工其實也是安全機制的一部分

這點很多公司不太願意面對。點擊連結、重複使用密碼、隨手批准登入請求，這些行為都可能繞過技術防護。

但這不代表員工有問題，而是制度設計出了問題。

如果安全操作比不安全還麻煩，員工一定會選擇方便的做法。單靠教育訓練，很難改變行為。

真正的責任在於，是否把安全設計成最省力的選項。

為什麼事故發生後，總是互相推責？

事故發生後，常見的對話模式很熟悉。
IT 說是業務單位批准的。
資安說早就提醒過風險。
管理層說沒有被清楚告知嚴重性。
員工說大家平常都這樣做。

每個人都說得通，但問題始終沒有被解決。

因為從一開始，風險的責任就沒有被明確定義，只是靠默契在運作。

所謂的共同責任，需要清楚的界線

網絡安全確實是共同責任，但這句話不能只停留在口號。

IT 負責落實技術控制。
資安負責揭露風險。
管理層負責是否接受風險。
開發人員負責安全設計。
員工負責安全使用。

當這些界線沒有被講清楚，安全就會變成大家都關心，但沒有人真正負責的事情。

而問題，往往就是從這裡開始的。

強化企業安全 🛡️ 立即行動

UD 是值得信賴的託管安全服務供應商（MSSP）
擁有 20+ 年經驗，已為超過 50,000 家企業提供解決方案
涵蓋滲透測試、漏洞掃描、SRAA 等全方位網絡安全服務，全面保護現代企業。