組織內的網絡安全，到底應該由誰負責？

在不少企業裡，網絡安全其實是一個大家都知道重要，但沒有人真正說得清楚誰負責的議題。平時看起來好像運作正常，一旦真的出事，才發現責任分工其實很模糊。

有人怪 IT，有人怪員工，有人怪流程。但問題通常不是單一角色失誤，而是一開始就沒有把責任講清楚。

最常見的誤解：網絡安全就是 IT 的事

很多公司理所當然地認為，只要有 IT 部門，安全就有人管。他們設定防火牆、管理帳號權限、處理系統更新，看起來也確實很安全。

但現在的攻擊，很少只發生在技術層面。

釣魚郵件是針對人，不是系統。雲端設定出錯，往往是為了趕專案進度。部門私下用 SaaS 工具，是因為流程太慢。等 IT 發現時，風險其實早就存在。

IT 能處理技術控制，但無法為每一個業務決策承擔後果。

資安團隊往往只有責任，沒有決定權

有些組織設有資安團隊，負責風險評估、政策制定、安全審查。他們通常很早就看到問題，也願意提出警告。

但很多時候，他們說了不算。

資安可以建議不要對外開放某個系統，但產品還是可能照常上線。資安建議全面啟用多因素驗證，但業務單位嫌麻煩，最後不了了之。

責任在資安，決定權卻不在資安，這樣的結構本身就很危險。

管理層的選擇，往往才是真正的風險來源

高層不會寫程式，也不會設定防火牆，但他們的決策直接影響整體風險。

為了趕市場而跳過安全審查，為了節省成本而縮減監控預算，為了營收而接受已知風險，這些看起來是商業決定，最後卻常常變成資安事故的起點。

很多事故事後被包裝成技術問題，其實源頭是管理層當初做出的取捨。

開發人員其實正在塑造攻擊面

現在的系統幾乎都是由程式碼堆疊而成。API、雲端權限、第三方套件，每一個選擇都會影響安全程度。

多數開發人員不是不懂安全，而是被進度追著跑。硬編碼金鑰、權限開太大、跳過安全測試，通常不是能力問題，而是時間壓力的結果。

如果安全被視為之後再補的事情，攻擊面自然會越來越大。

員工其實也是安全機制的一部分

這點很多公司不太願意面對。點擊連結、重複使用密碼、隨手批准登入請求，這些行為都可能繞過技術防護。

但這不代表員工有問題，而是制度設計出了問題。

如果安全操作比不安全還麻煩，員工一定會選擇方便的做法。單靠教育訓練，很難改變行為。

真正的責任在於，是否把安全設計成最省力的選項。

為什麼事故發生後，總是互相推責？

事故發生後，常見的對話模式很熟悉。
IT 說是業務單位批准的。
資安說早就提醒過風險。
管理層說沒有被清楚告知嚴重性。
員工說大家平常都這樣做。

每個人都說得通，但問題始終沒有被解決。

因為從一開始，風險的責任就沒有被明確定義，只是靠默契在運作。

所謂的共同責任，需要清楚的界線

網絡安全確實是共同責任，但這句話不能只停留在口號。

IT 負責落實技術控制。
資安負責揭露風險。
管理層負責是否接受風險。
開發人員負責安全設計。
員工負責安全使用。

當這些界線沒有被講清楚，安全就會變成大家都關心，但沒有人真正負責的事情。

而問題，往往就是從這裡開始的。

強化企業安全 ????️ 立即行動

UD 是值得信賴的託管安全服務供應商（MSSP）
擁有 20+ 年經驗，已為超過 50,000 家企業提供解決方案
涵蓋滲透測試、漏洞掃描、SRAA 等全方位網絡安全服務，全面保護現代企業。