防不勝防的年代裡，資訊安全需委外也需自保

資訊安全議題逐漸受到企業重視，但是安全專業人員與一般IT人員有某種程度技術上的落差，因此有人喊出「安全委外」的口號。資訊安全委外對企業來說是一個既期待又怕受傷害的問題，當企業受到資訊安全上的威脅時，資安廠商就像貼身保鑣幫忙阻擋可能的危險；可是，公司內部機密也可能被資安廠商一目了然。所以，趨勢科技技術服務部協理康宏旭就表示，資訊安全委外的關鍵在於「互相信任」。

可是，資訊安全委外服務通常都所費不貲，一般中小企業根本沒有那麼多的經費預算。賽門鐵克大中華區總監王岳忠認為，規模大的企業可以顧用專屬安全專家，或者花大筆費用交由資安廠商規畫，中小企業多半沒有安全防護的觀念，加上有許多連e化都不完全，因此要推行中小企業安全委外的確困難重重。

康宏旭表示，雖然安全委外的服務價格會決定企業是否採用的關鍵因素，企業CIO或CEO對資訊安全的重視與推行更應該不疑餘力。他說：「資訊安全與一般IT技術不同，它並非像企業裡的ERP、CRM系統是提昇生產力的資訊系統，資訊安全是防護架構，也許現在可能要先花一筆費用建置，但可能勝過於遭受危險時可能損失更大的金額。」

企業的人員與資訊安全人員在技術上有何差異？王岳忠認為，中小企業的IT人員通常都屬於救火隊，當使用者有電腦使用上或系統出了問題就負責修理。可是，資訊安全的問題並不是買一套軟體回來安裝就可以解決的，這其中牽涉到危機處理的應變能力。他說：「資訊安全的經驗相當重要，專門負責資安的廠商除了服務團隊都有國際認證的資格外，更有危機處理的經驗，這方面的技術門檻相當高，遠比修理公司內部電腦要來得複雜許多。」

資安廠商的技術服務團隊都會通過CISSP（Certificate for information system security profession）認證，這是由國際資訊系統安全認證機構（ISC）所核發給資訊安全從業人員的國際證照。而各個資安廠商也都會制訂頒發自行的安全證照給系統整合廠商或者是內部的技術人員，例如賽門鐵克有SCSE、趨勢科技有TCSE。

安全技術人員的人材來源近年來讓資安廠商產生迫切的需求。康宏旭表示，過去大專院校的資工、資科系所大多只教授撰寫程式的技術，對於安全議題並沒有很重視。不過，廠商近年來也開始積極與學院合作開課，就是希望除了傳遞資安觀念之外，更希望銜接學院與產業間的落差。

在政府方面，資安廠商多半都認為政府也許可以成立一個有公信力的資安規範或者是國家級安全認證中心。否則，除了遵行國際標準之外，資安廠商各開各自的安全認證標準規格，如果有統一的規範推行資訊安全也會更順利。

資訊化帶動企業更上一層樓，每一項科技所帶來的利與幣皆為相對的，資訊安全絕非只是中毒那樣簡單而已，就連現在的病毒也變化萬千，在這種防不勝防的年代裡，企業該如何自保？王岳忠表示：「企業的IT人員通常都只能做到防毒這一關，再上一層架設防火牆的需求就必須具備有TCP/IP的基本常識，而入侵偵測與弱點管理就是高門檻技術，因為必須看懂哪些是攻擊的封包。

雖然我們鼓勵資訊安全委外，但是企業自身也需具備懂得安全基本知識的IT技術人員。」這就好比遇到危難自身一定要具備有急救的觀念，然後再找救護車送到醫院，第一時間的搶救相當重要。康宏旭則表示，資訊安全問題除了技術面之外，更重要的是企業組織的管理，很多時候企業遭受到安全威脅並不一定是外部入侵，所謂「內賊難防」的道理就在這裡。

所以，資訊安全應該從損失面來評估，如果企業有了資訊安全防護將可減少多少損失，而非可以產生多少營收，這是逆向思考的方式，因為減少損失相對而言就是賺回資本。