觀點

預算節節下滑聲中 資安建設如何調整?

2003 / 07 / 07
預算節節下滑聲中 資安建設如何調整?

文/王志明


根據AMR市調公司指出,已連續三年名列支出榜首的全球資安預算,至2004年之前更將以兩倍於整體資訊預算的5%之勢成長,顯見資安議題已是各行各業企業電子化的關注焦點。


不過儘管如此,AMR近期研究認為,企業用戶所顧慮的資安優先建置順序,卻無法有效對應到資安產品與技術提供廠商的商機與營收。因此,其中真正的問題應不在於企業認為資安重要與否,而端在於「支出花在哪裡、預算配置是否合適」兩大議題。


尤其更讓多數企業關切的是:資安建設過程中居高不下的建置成本和管理複雜度。雖然放眼未來企業預算緊縮依舊,重大資安產品可預期的仍將樂觀地推陳出新。不過,攸關此一市場成長首要解決的是:如何大幅度降低伴隨多種資安技術而來的建置和整合成本。

經費走向:防禦而非攻擊
AMR認為,資安市場一般可分為兩大主要市場區隔:


* 防堵壞蛋(防禦):透過防毒、防火牆和入侵偵測等技術來保衛組織周邊(perimeter)的安全。

* 接納好人(攻擊):運用成形中的身分管理(identity management)技術來接納可信賴的個人如夥伴、供應商和客戶等存取某些應用軟體。



目前主要的資安經費都花在防禦周邊安全,這雖不見得走錯方向,但技術先天的複雜性與後天缺乏的整合能力,卻無法提供與滿足企業用戶成本效益的需求。防禦策略務求主動面對(proactive),而非被動因應(reactive)而已,也應該是全體適用的。


只是現今多數的產品不僅是各自為政,而且多半是因外在併購,而非內在架構,發展而來。這結果是:用戶得花更多的時間與金錢才能整合各項產品,後續維護的複雜性不僅帶來更多風險,也導致須花更多的經費在人力資源,而非導入新流程上。

轉機所在:掌握優先順序
支出緊縮迫使企業減緩投資的步調,即使是理該提撥預算的資安亦然。但對於亟思打造業務流程不受實體侷限的企業而言,就不能光靠資安的防禦性策略而已,投資於最終可帶來實質營收成長的攻擊性策略更屬當務之急。資安支出在降低營運風險與保護智財權(IP)之餘,也應該開始成為企業獲得優勢的來源。


然而轉機雖在,兩大問題卻須先克服:


* 複雜性:資安萬般複雜,通常也非任何組織的核心能力。駭客攻擊雖是風險,但以現今經濟情勢來看,將錢花在難以挹注營收的地方更屬嚴重問題。

* 整合性:眾多的資安技術(譬如防毒、防火牆等)雖屬稀鬆平常,但並非都能協同運作,也常是單獨銷售。某家業者或許能提供多項產品,可惜技術本身也不是都在同一平台上。買方因此該採取層次化的策略(layered approach),而賣方更應該花更多的時間與資源在產品的整合上。



AMR強調,若能更深入暸解與掌控防禦性策略,更能維持企業的長治久安,尤其新的規範如Sarbanes-Oxley法案(美國去年因安龍案而通過的加強公司治理的法規)和HIPAA法案(醫療保健組織的電子交易標準)更是要求企業必須有相當的資安行動。因此企業除仍須持續重視資訊安全,也須注意支出模式是否能確保資訊的安全。


四點建議:化成本為獲利
* 既要防衛周邊安全,也要考慮額外資安支出的長期企業目標。發展防禦性策略以降低風險,也應開始建立攻擊性策略,以求保障智財權,更能有助營收成長。

* 向合縱連橫中的資安廠商要求穩固的周邊防衛系統。猶如早期的ERP市場,資安市場目前也是百家爭相較勁。不過,走向整合勢難避免,好的產品也必當脫穎而出。

* 資安知識若非核心能力,何妨採取資安委外。很多企業也逐漸發現管理式資安(managed security)服務業者的效益所在。

* 自我教育,並投入身分管理對企業潛在好處的研究。具備對外在可信賴組織的開放能力當然可拓展交易往來的管道,資安如此一來也才能從固定成本變成獲利來源。