【大纪元2014年08月24日讯】(大纪元记者方惠萱台湾台北报导)从BYOD的实施也看见了台湾企业在资安软、硬体管理上的困境。资安管理不像其他管理项目可以将成果量化、建立关键绩效指标(KPI),这造成企业在资安的成本投入与决策上遇到相当大的困难。
HP企业IT架构师叶文贤指出,站在企业资讯总监(CIO)立场,预算往往有限,必须思考如何花在刀口上,资安也不是政府法令或是客户要求必须要做的事情,造成目前企业往往利用人脉、情感关系投递资安预算。要打破这样的习惯,让资管走向上正规,以网路扫描系统(ISS)工具加上来自于资安分析工具的指标进行管理,可望成为CIO决策的方向参考。
企业究竟要在资安投入多少预算?叶文贤建议:“目前台湾公司资安预算趋势,每年平均约有10%的成长,那么企业每年资安预算成长低于10%,那就是落后指标,若预算不增反减,表示该企业对资安重视程度不高。整体而言,据资策会资料,企业资安成本约占整体营运成本的16%,都可以成为企业参考的指标。”
企业除了建立资安预警措施,以及分析所有的系统资讯,利用大数据分析可能的威胁,达成预防之外,叶文贤建议,可以找资安健检服务,对企业目前的资安状况进行全面检查,政府也有相关计划,第一波针对政府部门,第二波预计明年针对金融单位进行健检。
对此,FireEye台湾技术经理林秉忠认为:“目前其实最贵的是人,因为人是一种持续性的投资,硬体建置上成本相对较低。如何找到对的人、这个人进公司之后是否有办法完成这么多事情,这都是企业碰到的挑战。”
林秉忠也建议,目前业界有资安厂商提出“Managed Defense(防护管理)”服务,考量到企业需要管理的软、硬体架构,更需要人来管理,直接提供整套服务,如同帮企业资安设备加上保全系统,并利用专人远端监控,发生资安事故能够有人即时处理,成为企业的资安新选择。◇
责任编辑:吴明芳
