企業主必知的IT管理四面向(三):資安技術人力

 企業主必知的IT管理四面向(三):資安技術人力篇

專題團隊 / Amy Chen, Daniel Chen, Mandy Lin

對於企業的管理者來說,資訊管理最難以拿捏的部分應該就是「技術人才」的投資與培育了。老闆一般不懂技術,可以理解資訊和營運風險的重要、可以掌握資訊成本的組成、可以感覺到生產力的提升,就是不懂為什麼IT總是面露難色?為什麼這個需求做不了?為什麼問題還是一大堆? 

 
  

資訊管理是「人」的問題還是「技術」的問題

資訊使用者是人,管理者也是人,會有專業能力的侷限,以及時間產能上限。一般企業會聘請MIS處理資訊問題,甚至負責企業的資訊管理MIS每天忙於應付使用者的表面資訊問題如電腦故障、收發信問題、軟體安裝和除錯便已經應付不暇,當遇到特殊專案建置或維運(如雲端服務導入、郵件搬遷、資訊安全防護),MIS很可能沒有相關技術和經驗執行,也沒有時間精進新技術領域,更不宜冒險付出龐大的試錯成本。

隨著雲端技術開啟企業數位轉型的第一道大門,上位者必須及早意識到並考慮到的是,資訊科技技術的變革與汰換速率是類指數性成長,必定將朝技術專業化發展——雲端有雲端的專業,資安有資安的水深——然後再發展成生態圈合作網絡。

資訊安全大概就是最具代表性的例子。COVID-19以來數位化和資安需求受到企業前所未有的重視,也有企業點出,台灣資安人才短缺、培訓資源不足,造成這塊新興人力市場供不應求,或是找不到讓企業滿意的技術人才。 


資訊安全人才荒?專業領域難定義

根據Fortinet資安能力落差對網路資安的廣泛影響》報告指出,有68%受訪企業在招募資安人才遇到瓶頸,且在疫情肆虐這一年中,有73%的企業至少受到一次駭客入侵,原因來自IT技術人員對網路資安知識或能力的不足。

行政院資通安全處處長簡宏偉曾受訪指出,資安人才培育是「雞生蛋、蛋生雞」的問題,市場的確存在,關鍵是讓資安人才結合領域專才,以產業現實環境來看,80%是跨領域的資安人才,只有20%是真正資安領域的專業人才

  • 資安的涉獵面向廣泛,從基礎建設維運到駭客攻防都相關聯 
  • 資安技術的更迭快速,需要投資大量時間學習、管理、應用 
  • 除技術外,更要長期培養使用者意識、強化組織風險管理與危機處理 

舉例來說,是讓醫療體系的人學習資安比較容易,還是讓資安領域的人懂醫療比較容易?自由系統服務過的資安維運客戶橫跨產業如:金融、醫療、製造、高科技等,其中當然不乏專業的資訊與資安人員,之所以還需要資安服務委外的原因在於,內聘資訊/資安人員—也就是上述跨領域的資安人才—往往較為熟悉產業領域知識(Domain Know-how)或是應用情境(Scenario),委外的資安服務商(MSSP)可能初期需要訪談企業才能了解需求痛點,但他們是最能掌握全面、全新資安專業的專家,可以補足內聘人員平時無暇更新的專業技術、缺乏的跨產品應用經驗,並提供跨領域解決方案,彼此搭配成為資安全才團隊。 

211121 220217 adv specialization

資訊管理大補帖👉 訂閱自由系統電子報,領取企業主必知的資訊管理大補帖


效益不見得「看的見」,但風險期望值「有感覺」 

行政院資通安全處處長簡宏偉提到:「現在多數人仍將資安視為企業的成本,重點在於,要讓大家意識到資安的重要性,資安其實是企業的投資而不只是成本。」

自由系統總經理俞伯翰也分享,資安投資就是在計算風險期望值,企業主不妨帶入公式簡單計算假設資產總價值1,000萬,遭攻擊的機率有2%20萬以內的投資都算是合理的最怕「平時以為沒問題才是有問題」,災難發生後才知道「痛」,有形和無形的救災成本和商譽損失足以讓中小企業覆滅。

價值Value x 機率Possibility = 期望Expectation

當雲端成為企業標配,很多數位資產都走向虛擬化、訂閱制,讓許多思維較傳統的企業主投資卻步,因為花大錢後的效益肉眼「看不見」。「很多維運服務客戶反映,為什麼平時都沒什麼問題發生、好像我們收錢沒做事?」俞伯翰總經理分享,我告訴客戶,難道要等發生資安事件我們才趕去救災?IT就是要把潛在風險降到最低,不要老是等出問題才擦屁股。

211121 security evaluation

給企業的強心劑:正確觀念,聰明投資 

資訊安全的管理和維運是一整個動態循環的過程不可能一勞永逸。

•  前期預防重於治療,需要投注資源和工具,確保整體環境的可視性與可控性,降低事故發生的潛在風險。
•  中期當事件發生,需要即時探索並評估各端點上與軟體漏洞,進行集中化動態調整,並追蹤攻擊發動的源頭與路徑,進行即時的阻斷跟告警。
•  攻擊後期須將路徑紀錄進行比對分析,有效地針對弱點進行補強及處理,避免相同的弱點一再被針對。

在「前、中、後」三階段的循環中,只有IT及資安人員的努力遠遠不夠,需要搭配智慧化工具的輔助分析、自動化工具的即時阻擋,甚至是AI機器學習將攻擊數據轉化為情資,搭配 IT及資安人員的經驗判斷、資料解讀與技術維運,才是一個完善的團隊。更重要的是,只有當老闆由上而下(Top-down)的建立重視資訊安全的企業文化,從人本角度出發,制定安全與便利平衡的管理方針並且將資源放在對的地方才能帶動組織邁向數位安全新紀元

211122 it management

►資訊管理大補帖👉 訂閱自由系統電子報,領取企業主必知的資訊管理大補帖
►客戶成功案例👉 瑞昱半導體透過數位升級建立營建與資安韌性