loading...
從BYOD的實施也看見了台灣企業在資安軟、硬體管理上的困境。資安管理不像其他管理項目可以將成果量化、建立關鍵績效指標(KPI),這造成企業在資安的成本投入與決策上遇到相當大的困難。
HP企業IT架構師葉文賢指出,站在企業資訊總監(CIO)立場,預算往往有限,必須思考如何花在刀口上,資安也不是政府法令或是客戶要求必須要做的事情,造成目前企業往往利用人脈、情感關係投遞資安預算。要打破這樣的習慣,讓資管走向上正規,以網路掃描系統(ISS)工具加上來自於資安分析工具的指標進行管理,可望成為CIO決策的方向參考。
企業究竟要在資安投入多少預算?葉文賢建議:「目前台灣公司資安預算趨勢,每年平均約有10%的成長,那麼企業每年資安預算成長低於10%,就是落後指標。若預算不增反減,表示該企業對資安重視程度不高。整體而言,據資策會資料,企業資安成本約占整體營運成本的16%,都可以成為企業參考的指標。」
企業除了建立資安預警措施,以及分析所有的系統資訊,利用大數據分析可能的威脅,達成預防之外,葉文賢建議,可以找資安健檢服務,對企業目前的資安狀況進行全面檢查,政府也有相關計畫,第一波針對政府部門,第二波預計明年針對金融單位進行健檢。
對此,FireEye台灣技術經理林秉忠認為:「目前其實最貴的是人,因為人是一種持續性的投資,硬體建置上成本相對較低。如何找到對的人、這個人進公司之後是否有辦法完成這麼多事情,這都是企業碰到的挑戰。」
林秉忠也建議,目前業界有資安廠商提出「Managed Defense(防護管理)」服務,考量到企業需要管理的軟、硬體架構,更需要人來管理,直接提供整套服務,如同幫企業資安設備加上保全系統,並利用專人遠端監控,發生資安事故能夠有人即時處理,成為企業的資安新選擇。◇
