評估委外時機和廠商四大要點

文 / 陳彥豪


資訊安全是一項專業全面性的工作，應包含企業整體營運的各個層面，而不是單一產品的採購安裝即能解決所有且不間斷發生的安全問題。資訊安全工作可視為一生命循環週期，經由此整個循環過程當中的不斷改善，累積經驗與技術，才能協助企業降低在資訊環境中所面臨的風險，並為企業創造出最大的利潤。在此筆者提出「零漏資訊安全管理規劃」(Zero-Gap Security Planning)來說明資訊安全工作的生命循環週期 (方法論)。
企業所面臨的困擾
由圖一可清楚看出管理工作在資訊安全循環週期中佔有很重要的地位，因為一切的網路安全建置規劃皆是為了達到資訊安全的管理。對大多數企業而言，網路安全產品建置規劃是很容易去推行的項目，因此很多企業都已建置了防火牆及入侵偵測系統等安全產品，但一說到資訊安全管理，卻常常帶給企業許多的困擾，現將其原因說明如下:


人員不足

一般企業的資訊人員編組中，原本就沒有資訊安全專職人員的編制，基於成本考量，企業往往也不願意再增加專職的資安人員，而是由一般資訊管理人員兼任。這樣的結果往往造成資訊管理人員身兼數樣工作，無法專注於資安事件的監控及事件的即時回應處置，並影響原本所負責之工作，導致工作品質下降。


專業知識及經驗不足

在資訊安全工作由一般管理人員兼任的情況下，往往缺乏資訊安全專業知識及經驗，面對安全產品所產生的事件報告，常常不知如何去解讀並做適當的處置，或是處理速度緩慢，造成安全事件擴大。


無法提供24x7的監控及事件回應

網路攻擊事件是沒有國界及時間的限制，因此資安事件的監控及回應應是全天候的進行，以便事件發生時能即時處理，將攻擊者立即阻擋在外。然而大多數企業無法做到此點，當管理人員隔日上班時，往往已對企業內部造成損害。


經驗無法累積傳承

資安事件的判斷及證據蒐集追蹤等，需要一定的專業經驗，這些經驗需要不斷從事安全工作累積而來，在非專職人員的制度下，一旦承辦人員調動，之前所累積的經驗往往沒有傳承下去，接手人員又需重新摸索，造成企業資源浪費。


為了解決企業所面臨的這些問題，資訊安全委外服務於是逐漸興起。目前在台灣資訊安全委外服務還在起步階段，但是在北美地區，資訊安全委外服務市場已日漸成熟，以下分享從事資訊安全委外服務之經驗。

何時該選擇委外
資訊安全委外服務在未來既然是一種趨勢，那麼企業何時該選擇委外呢?


維持企業競爭力

企業在資源有限的情況下，需要將資源做最佳的運用，專注於企業的核心業務以維持競爭力，此時即可將需要專業知識技能的資訊安全管理委外，藉由資安服務廠商的專業知識及經驗，有效協助企業保護資訊資產的完整性及可用性，讓企業得以專注於其核心業務的發展。


人力資源有效運用

前面提到過資訊安全的管理需要專職有經驗的人員，在增加專職人員會增加成本，而利用人員兼職資安工作又無法達到預期管理效果的情況下，資安委外將是有效運用人力資源的最佳選擇。


需要24x7的事件監控及處置回應

資安事件的監控和處置回應是資安管理中最需要專業處理的部分，而一般企業無法做到24x7的事件監控，藉由委外服務，企業可以節省大量人力以及教育訓練等資源，以最小的投資，達到最大的效益。


符合政府法令規章

企業為了達到政府法令規章的標準，例如目前行政院「國家資通安全會報」對分級列管機構要求建立資安監控中心SOC的規定，或是要符合HIPAA等標準，可將資安工作委由可信任的廠商專業代管，以減低企業資安建置成本並同時滿足法令要求。

評估資訊委外廠商的標準
在眾多的資安服務廠商中，要如何選擇才能符合企業的需求呢? 以下列出一些評估的標準以供參考。


可信賴的資安服務廠商

資訊安全管理委外要成功，首要條件必需是企業與委外廠商有良好的信任關係，通常在資安委外之前，企業與廠商已藉由其他專案建立一段信任關係。


資安服務廠商之商譽

廠商在業界的商譽將是企業選擇委外時的重要考量，具有良好商譽的廠商，越是重視客戶的需求，也越能幫客戶解決問題。


具有良好之商業夥伴關係

資安服務廠商應擁有與技術原廠，甚至其他資安服務廠商間良好的商業夥伴關係，以做為服務客戶時強大的技術支援後盾，快速反應客戶的需求。


專業即時的服務能力

資安事件的監控管理靠的是專業的技術經驗累積，才能在資安事件發生時，於最短時間內做出回應。因此廠商是否已擁有一定規模的服務提供經驗，以及服務提供團隊，將是企業選擇委外廠商時必需考量的部分。


藉由資安委外服務，企業除了更能專注於核心業務的發展，更能藉由委外廠商的專業，獲得資訊安全最先進的知識，這些知識對於改善資訊安全系統，提昇整體資訊安全的效能，有著難以估量的優勢。(本文作者現職為台灣優利系統公司資訊安全與網路事業部資深顧問)