重新定義人力風險管理：CISO 如何用數據驅動精準防禦

當你向董事會報告今年的資安預算需求時，是否曾被質疑投資效益？當組織內部再次發生人為疏失導致的資安事件時，是否感到既有培訓方案的無力感？最新的產業研究數據顯示，傳統的人力風險管理模式正面臨根本性的挑戰，而 CISO 們需要的不是更多預算，而是更精準的策略。

預算增加不等於風險降低的殘酷真相

Cyentia Institute 和 Living Security 聯合發布的研究報告 揭示了一個令人震驚的現象：儘管 85% 的組織在過去一年增加了資安預算，但僅有 3% 的 CISO 認為預算充足。這個數據背後隱藏的不是預算規模問題，而是資源配置效率的根本缺陷。

更關鍵的發現是：僅 10% 的員工產生了組織內 73% 的風險行為。這意味著如果你的組織有 1,000 名員工，只需精準管理其中 100 人，就能解決近四分之三的人力風險問題。相反地，78% 的員工實際上在降低風險而非增加風險。

這組數據直接挑戰了「全員培訓」的傳統思維。當你把有限的資源平均分配給所有員工時，實際上是在用 90% 的資源處理 27% 的風險，而讓真正的高風險族群獲得不成比例的關注。

量化人力風險的業務影響力

過去，人力風險常被視為「軟性議題」，難以量化其業務影響。但最新數據提供了明確的量化指標：

直接財務損失： Mimecast 2025調查顯示 ，內部威脅造成的平均損失為 1,390 萬美元。更具體的案例是 Change Healthcare 遭受的網路攻擊，主要歸因於員工憑證遭釣魚郵件洩露，估計損失在 23 至 24.5 億美元之間。

可見性缺口：一般組織平均只能偵測到 43% 的人力風險事件，而僅依賴安全意識培訓的組織，這個數字更降至 12%。想像一下，這意味著你對組織內 57% 的風險活動是完全盲目的。

預測性威脅：61% 的 CISO 認為組織很可能在 2025 年因協作工具攻擊遭受業務損失，44% 已觀察到相關威脅在過去一年明顯增加。

這些數據為 CISO 提供了與董事會溝通的強力武器。人力風險管理不再是「應該做」的軟性投資，而是直接影響企業生存的硬指標。

技術解決方案的成熟度已達實用階段

在人員風險管理的領域中，HRM（Human Risk Management）平台已逐漸成為企業不可或缺的核心基礎。其價值在於能夠將原本難以量化的人為風險，以數據化與可視化的方式呈現，並透過持續監測與個人化行動計畫，協助企業由傳統被動的培訓模式，轉型為更具前瞻性的主動防禦。同時，HRM 平台具備與身份驗證、資料外洩防護（DLP）、SIEM/SOAR 等資安系統整合的能力，使「人」這一關鍵因素真正納入整體資安架構中。然而，HRM 雖然是人員風險管理的核心，但並非唯一支柱。唯有結合企業文化的推動、內部制度的配合，以及傳統資安技術的支持，才能發揮平台的最大效益，進而建立一個兼具技術與文化韌性的全面防護體系。

人力風險管理（HRM）平台的技術成熟度已足以支撐企業級應用。Living Security 的客戶數據顯示：

• 風險用戶比例在一年內從 43% 降至 21%，減少幅度達 50%
• 完成行動計劃的用戶，平均風險暴露時間減少 60%
• 針對資料外洩風險，暴露時間更減少高達 98%

更重要的是，成熟的 HRM 平台能提供比傳統方法高 5 倍的風險可見性。這不是技術上的微調，而是管理哲學的根本轉變：從被動的全面培訓，轉向主動的精準防禦。

當代 HRM 平台六大必備功能

1. 精準風險識別與量化

   • 針對個人或部門的行為進行風險評估
   • 提供量化指標（風險分數、暴露時間）

2. 個人化行動計劃

   • 依照風險狀態推送差異化任務
   • 任務完成後可明顯降低風險暴露

3. 持續監測與即時回饋

   • 長期追蹤行為模式
   • 及時提醒並引導修正

4. 企業系統整合能力

   • 可與身份驗證、雲端平台、DLP、SIEM/SOAR 串接
   • 建立全方位的資安防護網

5. 數據驅動的決策支援

   • 提供高可視化報表與趨勢分析
   • 支援管理層的資安投資與培訓決策

6. 文化與行為養成

   • 遊戲化、互動化設計，提升員工參與度
   • 讓安全意識成為日常習慣

新威脅面的策略應對

協作工具正成為新的攻擊主戰場。Teams、Slack 等平台的普及，創造了傳統郵件安全範圍外的新攻擊面。Marriott 在 Slack 攻擊後實施更嚴格防護措施，Disney 甚至完全停用 Slack 來消除風險，但禁用協作工具對營運效率的影響是不可持續的。

AI 的雙面刃效應同樣需要戰略性思考。95% 的組織正使用 AI 防禦攻擊，但 81% 同時擔心 AI 工具可能洩露敏感資料，55% 坦承對 AI 驅動的威脅準備不足。

協作工具成為主戰場的轉變有幾個關鍵因素：

攻擊面的根本性擴張

傳統邊界消失
過去的企業安全架構基於明確的網路邊界，郵件是唯一主要的外部溝通管道，相對容易管控。但 Teams、Slack、Zoom 等協作工具打破了這個邊界。員工現在透過多個平台與內外部人員互動，每個平台都有自己的檔案分享、訊息傳遞、甚至程式整合功能。

信任模型的混淆
協作工具創造了一種「預設信任」的環境。在 Slack 頻道中，員工傾向相信同事傳來的連結或檔案，因為這些工具的設計就是為了促進協作。攻擊者利用這種心理，一旦入侵某個帳號，就能在組織內部快速橫向移動。

攻擊向量的演進

從郵件到多管道滲透
報告顯示，攻擊者不再單純依賴釣魚郵件。他們會：

• 透過 LinkedIn 等社群媒體蒐集員工資訊
• 偽造身份加入公開的 Slack 工作空間
• 在 Teams 中發送看似來自同事的惡意連結
• 利用 Zoom 會議進行社交工程

即時性攻擊的威力
協作工具的即時性讓攻擊更有效。傳統郵件攻擊員工還有時間思考，但在忙碌的 Slack 對話中，員工往往會快速點擊連結或下載檔案，特別是當訊息看似來自熟悉的同事時。

原生安全機制的不足

設計哲學的衝突
協作工具的核心設計理念是「便利性優先」，而非「安全性優先」。67% 的 CISO 認為原生安全功能不足，正是因為這些平台：

• 預設允許檔案分享和外部連結
• 缺乏細緻的權限控制
• 難以與企業既有的安全基礎設施整合
• 訊息編輯和刪除功能讓事後稽核變得困難

可見性的缺失
企業的資安團隊往往對協作工具內的活動缺乏足夠監控。郵件系統通常有完整的記錄和過濾機制，但 Slack 的私人訊息、Teams 的檔案分享、或 Discord 的語音通話，很難納入統一的安全監控範圍。

疫情加速的工作模式轉變

遠程工作常態化
COVID-19 讓協作工具從「輔助工具」變成「核心基礎設施」。員工每天花費大量時間在這些平台上，處理敏感資料、進行重要決策、分享機密文件。攻擊者自然會跟隨價值流動的方向。

影子IT的擴張
許多部門在沒有 IT 部門充分監督下，自行導入各種協作工具。一個企業可能同時使用 Teams、Slack、Discord、Telegram 等多個平台，每個都成為潛在的攻擊入口。

具體攻擊案例模式

帳號劫持連鎖反應
攻擊者透過釣魚取得一名員工的協作工具憑證後，可以：

1. 查看該員工的所有頻道和對話記錄，了解組織架構
2. 偽造該員工身份向同事發送惡意內容
3. 利用該員工的權限存取敏感頻道
4. 在群組中散佈惡意軟體或釣魚連結

資料外洩的新路徑
不法份子發現協作工具比郵件更難監控，因此：

• 透過私人訊息竊取敏感資料
• 利用檔案分享功能大量下載文件
• 在看似正常的工作討論中嵌入惡意內容

防禦挑戰的複雜性

多平台管理困難
每個協作工具都有不同的安全設定、API 限制、稽核能力。資安團隊需要熟悉多個平台的特性，而且這些平台還在快速演進中。

使用者體驗與安全的平衡
過度限制協作工具功能會影響工作效率，但放寬限制又會增加風險。這種平衡比傳統的網路安全更難拿捏。

這就是為什麼 Marriott 選擇加強防護、Disney 選擇完全停用 Slack 的原因。協作工具已經從「便利的輔助工具」轉變為「必須嚴肅對待的攻擊面」，需要專門的安全策略和管理機制。

人力風險管理的實戰操作方法

從理論走向實務，CISO 需要具體的操作框架。基於兩份報告的成功案例，以下是經過驗證的實戰方法：

多維度風險檔案建立
整合超過 200 個即時信號，涵蓋身份存取、使用者行為和外部威脅。例如，將釣魚郵件點擊記錄、異常登入模式、協作工具使用習慣、憑證衛生狀況等數據，建構每位員工的動態風險檔案。關鍵在於將這些原本分散的數據點串聯，形成完整的行為軌跡。

四象限使用者分類策略
參考 D&D 遊戲的陣營概念，將員工分為四類：法序警戒型（41%）持續執行基本安全措施、混亂警戒型（37%）展現多樣化正面行為、法序風險型（14%）重複相同風險行為、混亂風險型（8%）產生各種類型風險。針對不同象限設計差異化介入策略，而非一刀切的培訓模式。

個人化行動計劃執行
針對高風險員工制定具體的改善計劃，不是泛泛的提醒郵件。例如，對於經常點擊釣魚連結的員工，提供模擬釣魚測試加上即時回饋；對於憑證管理不當的員工，強制要求使用密碼管理工具。研究顯示這種精準介入可以讓使用者處於風險狀態的時間平均減少 60%。

即時行為監控與介入
建立行為異常的即時偵測機制。當員工出現可疑活動時，系統能立即介入，例如在協作工具中偵測到敏感資料分享時即時阻擋並提供替代方案，或在發現異常檔案存取模式時觸發額外驗證程序。

跨平台整合管控
將郵件安全、協作工具監控、身份管理系統整合在統一的 HRM 平台上。當員工在 Slack 分享包含個資的檔案時，系統能關聯其郵件行為記錄，判斷是否為惡意行為或單純疏忽，並採取對應措施。

效果量化與持續調整
建立明確的衡量指標：風險暴露時間變化、安全事件發生頻率、員工風險分級變動等。Living Security 的案例顯示，資料外洩相關風險的暴露時間可減少達 98%，這種量化結果為持續優化提供了明確方向。

CISO 的行動藍圖

基於這些發現，建議 CISO 採取以下三階段策略：

第一階段（1-3個月）：風險評估與識別
部署 HRM 平台，建立基線數據，識別組織內 10% 的高風險用戶群體。重點不是增加新工具，而是整合現有安全投資以提高可見性。

第二階段（3-6個月）：精準干預
針對高風險用戶設計個人化的行動計劃，同時強化協作工具的安全防護。預期在此階段看到風險暴露時間開始顯著下降。

第三階段（6-12個月）：持續優化與擴展
建立風險管理的持續回饋機制，將成功經驗擴展到更廣泛的風險面向，同時準備向董事會展示量化的投資回報。

結語：從成本中心到價值創造者

人力風險管理的數據化轉型，為 CISO 提供了從「成本中心」轉為「價值創造者」的機會。當你能夠用具體數據證明風險降低和損失避免時，資安團隊在組織中的戰略地位將顯著提升。

我們理解許多 CISO 的資安團隊經常面臨人力不足的挑戰，在推動人力風險管理轉型時更顯吃力。如果您需要專業諮詢服務來協助評估現況、設計實施策略，或提供技術支援，歡迎洽詢我們的專業服務團隊。我們擁有豐富的 HRM 平台導入經驗，能協助您的組織以最有效率的方式實現人力風險管理的轉型目標。