以委外服務創造最佳化的企業安全機制

文／陳長榮


對於許多企業組織而言，企業安全的重要性已無需贅言；但另一方面，卻又是高度棘手而複雜的難題。安全技術的不斷翻新，亟需相關人員隨時掌握變動並吸收新知，然而，安全課題並非資訊部門甚或企業組織的核心業務，往往在付出高昂成本之餘仍面臨效果不彰的困境，因此，特別需要協力廠商等外部助力做為輔佐，以求事半功倍之效。


不可否認的，企業安全的威脅與風險雖然攸關重大，但卻並非日常運作的重心，也不是常態性問題，如果要對此投注人力以7 ×24的無休形式進行監控，對於資源有限的企業組織而言，必然是相當高昂而無謂的投資。兼顧人力、成本與技術水準考量的企業安全委外服務，也就因運而生。

兩大委外模式各具效益
企業安全的委外之道，通常可區分為兩種作法：第一種是讓服務供應商遠端存取企業內部的安全資料，並定期提供各種型態的制式報表。這種形式在歐美等地較為常見，但在亞洲國家推展時，往往較難取得客戶的信任。相較之下，由服務供應商派遣安全人員直接進駐客戶端以提供即時協助，是亞洲企業接受度較高的第二種作法。


第二種作法的另一項要素，則是採取雙線式支援。第一線支援由進駐客戶端的現場人員負責監控之責，以及7 ×24的輪班服務；第二線支援則是位於服務供應商端的資深安全人員，負責問題排解與技術諮詢等進階協助。


要對兩種作法的成效進行比較，可分由工作範疇、工作模式，以及安全/控管等級的不同來深入探討。從工作範疇來分析，遠端存取的作法僅限於網路安全如入侵，然而，真正的企業安全是以多種面向呈現，絕對不僅限於網路；相對地，人員進駐的作法就能協助企業進行全面性的安全監控。


而在工作模式方面，可想而知，在遠端存取的形式之下，企業對於服務供應商的安全人員一無所知，難以培養信任度；但若是派遣專責人員進駐，企業就有機會直接進行觀察與了解，並對服務供應商提出人員適任與否的相關意見。


至於安全/控管等級部分，服務供應商透過遠端存取究竟獲得哪些資源與數據，是企業無法控管的一環，最終的報表也僅能呈現有限的內容。不過，在人員進駐的形式下，企業可即時掌握服務供應商對資料的收集、保存與運用，而且，當呈現成果與客戶的期望相異時，現場人員還能立即進行最適化與最佳化調整，快速滿足企業獨特的安全需求。


以委外合作創造最佳成本效益
幾乎絕大多數的企業組織都希望能儘量降低對安全人員的投資，不僅因為其與於核心業務或優勢競爭力無關，更由於自行培養的安全人員在技術水準與等級，都很難與專業的服務供應商抗衡。一般而言，技術面與操作面工作都屬於耗費人力的低階作業，如果交由服務供應商人員來執行，即可節省相當可觀的人力投資。相對地，企業僅需擔負監控、稽核與管理之責，及以主導性角色來發展意外狀況的標準回應與正常運作的回復之道。


換言之，服務供應商安排在企業端的進駐人員，無需具備太高的技術層級，主要工作在協助企業監控及回報問題，也就是異常狀況的阻止與提報，如此一來，即可免除企業自行設置安全人員的需要，進而大幅地降低成本。一旦真正發生問題時，因應解決的主導權仍操縱在企業手中，同時，服務供應商的第二線安全人員會根據既有的數據與資訊，協助找出問題根源以提供初步作法，再進一步確認問題來源，以提出技術面的合適諮詢與建議。


值得注意的是，目前絕大多數的企業都尚未編制安全人力，多半是由IT人員兼顧，面臨沈重的工作負擔，難免有所疏漏。透過委外服務導入專職的安全監控人員，IT部門僅需擔負管理監督之責，不僅能更專注於支援企業經營，還能讓企業安全達到更好的防護層級。


因此，如何選擇適任的服務供應商，是企業安全委外模式成功與否的關鍵。首先，就是企業對供應商的信任度，由於企業安全必然牽涉許多企業機密資料，供應商在本地甚或全球的商譽及形象絕對是必備要件。


其次，則是要深入了解服務供應商本身在企業安全的實際作法與運作狀況。確保安全的重要作法，往往都在於程序面而非技術面，唯有自身具備豐富經驗的供應商，才能為企業提供更多實務建議。


最後，則是充足的資源，備受關注的技術課題早已是所有供應商的基本條件之一，人力資源與調度機制反而才是關鍵。舉例來說，當企業因為電子郵件附檔而導致上千台PC同時中毒時，如何儘速處理並解毒，就是恢復正常運作的唯一途徑。也就是說，企業安全一旦出現問題或缺口，往往需要耗費大量人力來做修補，供應商是否能提供靈活而充足的人力調度及支援，就成為重要的評選條件。


截至目前為止，企業安全委外服務仍是一塊新興領域，寥寥可數的服務供應商仍把主力放在第一種委外作法，也就是遠端存取模式，希望藉此達成客戶節省成本的期望。然而，如前所言，對於許多客戶而言，成本往往不是首要考量，同時還必須兼顧對供應商的信任感與本身獨特需求的滿足，所以，派遣人員進駐現場的第二種委外作法，是近兩年來在亞洲以及台灣地區快速成長的方向。


面臨成本與挑戰皆居高不下的企業安全課題，如何透過委外服務以達成最佳的分工合作模式，不僅是當前最具成本效益的解決方案，也是以多重保障維持正常營運的最佳防護之道。(本文作者為台灣IBM公司資訊服務部協理)