Pages

Subscribe:

Ads 468x60px

Labels

2013年11月24日 星期日

企業資安委外 停、看、聽

專業分工?還是成本考量?
企業資安委外 停、看、聽
文/陳啟川 

不管是IT還是資安委外的議題談論已久,在近年SaaS(Software as a Service, 軟體即服務)風潮的帶動下,企業也愈能接受這樣的觀念,而思考委外(不論是IT、資安或其他方面)的可能,本文將從企業的需求與廠商提供的服務來介紹資安委外前企業所必需了解的相關訊息。

隨著網路攻擊的複雜與隱匿化,企業資安工作也將趨向專業分工,以往常由網管人員兼任企業的資安工作已經不足以應付現今的攻擊威脅,使得將資安專業委外成為企業的另一種選擇。

企業資安委外的驅力
企業為何需要資安委外?可從防禦攻擊的專業技術與法規遵循兩方面來加以分析:

 防禦攻擊的專業技術

趨勢科技專家服務事業部經理王應達說明,在2000年前病毒大規模爆發的情況較少,但網路的興起為遠端攻擊與病毒威脅提供一條更快速、便利的管道,所以像03、04年便有全球性病毒蠕蟲的大規模爆發。此時企業需要的是在疫情擴散前能先被通知以做好準備。但到今天,已少見大規模的資安事件發生,反而多偏向特定族群與產業的隱匿攻擊;而Web2 . 0的普及所產生的上網行為管理、網頁內容過濾等問題,都讓企業更難掌握所面臨的資安狀況。此外, 現在企業內部環境愈趨複雜,像一些行動裝置、廠商、外來訪客的網路使用、3G上網、虛擬化環境等,再加上前述攻擊手法的多變,相對使得企業IT人員也需要更專業的技術能力才能處理這些威脅,因此產生外在專業顧問協助的需求。

 威脅攻擊與法規遵循

法規遵循上,像行政院研考會對相關政府部門訂定有關於SOC或定期弱點掃描的規定。至於一般企業,聚碩科技網路整合事業群市場規劃部資深經理林立棕指出因為有替國外企業代工的情況,使得這些企業也要配合通過相關法案的稽核;或是像金融產業需符合新巴塞爾協定的要求。這些法規遵循對資安委外來說常是最強有力的驅動力,而迫使企業必需進行委外以符合法規需求。
林立棕表示,台灣第一次出現SOC(Security Operation Center,資訊安全監控中心)的概念約在2000年,一開始主要來自於行政院研考會對相關政府部門的一些規範需求,對一般企業而言接受度並不高。但現今企業對將資安委外交由專業SOC監控中心管理的作法已開始漸漸接受。

企業進行資安委外的時機
如何判斷何時是資安委外的時機?可從下列4項加以考量:

 委外是否更有效率與專業?

CPCNet技術支援經理張恆霖也提到,企業內部的平台日趨複雜,使得資安事件在管理與維護上的難度提高,如果企業內部人員無法維護的話,此時就應考慮將資安工作委外管理。

 委外成本是否較低?

由於資安工作的高度專業化,張恆霖認為企業即使投入成本也未必能在短期內提昇技術水準,直接由外部聘請資安專業人才的花費也高,且企業自行培養訓練之後人員是否能留任?這些都是需要考量的問題。

 資安是否是IT工作的核心價值?

全球化競爭下,企業無不追求IT架構的精簡,以節省人力支出與增加管理效率,使得許多IT工作皆已委外。對一些用戶端的問題,像是電腦中毒需要有人處理,王應達認為此時企業要思考設備安全的維護是否為企業核心價值與競爭力?在此IT精簡的前提下,保有與業務相關的核心價值部份,其他工作則可趨向委外。

 資安事件發生

林立棕以其與企業接觸的經驗指出,台灣企業的投機心態濃厚,往往要到事情發生後才要去做,即使出了事也只想蓋過而已。相較之下,上述三個要素都顯得理論許多,就實務而言,資安事件的發生才是企業考量委外最即時、有效的「機會教育」,只是為時已晚。 

【原文刊載於RUN!PC雜誌:2008年6月號】
資料來源

沒有留言:

張貼留言