觀點

以委外服務創造最佳化的企業安全機制

2003 / 11 / 03
以委外服務創造最佳化的企業安全機制

文/陳長榮


對於許多企業組織而言,企業安全的重要性已無需贅言;但另一方面,卻又是高度棘手而複雜的難題。安全技術的不斷翻新,亟需相關人員隨時掌握變動並吸收新知,然而,安全課題並非資訊部門甚或企業組織的核心業務,往往在付出高昂成本之餘仍面臨效果不彰的困境,因此,特別需要協力廠商等外部助力做為輔佐,以求事半功倍之效。


不可否認的,企業安全的威脅與風險雖然攸關重大,但卻並非日常運作的重心,也不是常態性問題,如果要對此投注人力以7 ×24的無休形式進行監控,對於資源有限的企業組織而言,必然是相當高昂而無謂的投資。兼顧人力、成本與技術水準考量的企業安全委外服務,也就因運而生。

兩大委外模式各具效益
企業安全的委外之道,通常可區分為兩種作法:第一種是讓服務供應商遠端存取企業內部的安全資料,並定期提供各種型態的制式報表。這種形式在歐美等地較為常見,但在亞洲國家推展時,往往較難取得客戶的信任。相較之下,由服務供應商派遣安全人員直接進駐客戶端以提供即時協助,是亞洲企業接受度較高的第二種作法。


第二種作法的另一項要素,則是採取雙線式支援。第一線支援由進駐客戶端的現場人員負責監控之責,以及7 ×24的輪班服務;第二線支援則是位於服務供應商端的資深安全人員,負責問題排解與技術諮詢等進階協助。


要對兩種作法的成效進行比較,可分由工作範疇、工作模式,以及安全/控管等級的不同來深入探討。從工作範疇來分析,遠端存取的作法僅限於網路安全如入侵,然而,真正的企業安全是以多種面向呈現,絕對不僅限於網路;相對地,人員進駐的作法就能協助企業進行全面性的安全監控。


而在工作模式方面,可想而知,在遠端存取的形式之下,企業對於服務供應商的安全人員一無所知,難以培養信任度;但若是派遣專責人員進駐,企業就有機會直接進行觀察與了解,並對服務供應商提出人員適任與否的相關意見。


至於安全/控管等級部分,服務供應商透過遠端存取究竟獲得哪些資源與數據,是企業無法控管的一環,最終的報表也僅能呈現有限的內容。不過,在人員進駐的形式下,企業可即時掌握服務供應商對資料的收集、保存與運用,而且,當呈現成果與客戶的期望相異時,現場人員還能立即進行最適化與最佳化調整,快速滿足企業獨特的安全需求。


以委外合作創造最佳成本效益
幾乎絕大多數的企業組織都希望能儘量降低對安全人員的投資,不僅因為其與於核心業務或優勢競爭力無關,更由於自行培養的安全人員在技術水準與等級,都很難與專業的服務供應商抗衡。一般而言,技術面與操作面工作都屬於耗費人力的低階作業,如果交由服務供應商人員來執行,即可節省相當可觀的人力投資。相對地,企業僅需擔負監控、稽核與管理之責,及以主導性角色來發展意外狀況的標準回應與正常運作的回復之道。


換言之,服務供應商安排在企業端的進駐人員,無需具備太高的技術層級,主要工作在協助企業監控及回報問題,也就是異常狀況的阻止與提報,如此一來,即可免除企業自行設置安全人員的需要,進而大幅地降低成本。一旦真正發生問題時,因應解決的主導權仍操縱在企業手中,同時,服務供應商的第二線安全人員會根據既有的數據與資訊,協助找出問題根源以提供初步作法,再進一步確認問題來源,以提出技術面的合適諮詢與建議。


值得注意的是,目前絕大多數的企業都尚未編制安全人力,多半是由IT人員兼顧,面臨沈重的工作負擔,難免有所疏漏。透過委外服務導入專職的安全監控人員,IT部門僅需擔負管理監督之責,不僅能更專注於支援企業經營,還能讓企業安全達到更好的防護層級。


因此,如何選擇適任的服務供應商,是企業安全委外模式成功與否的關鍵。首先,就是企業對供應商的信任度,由於企業安全必然牽涉許多企業機密資料,供應商在本地甚或全球的商譽及形象絕對是必備要件。


其次,則是要深入了解服務供應商本身在企業安全的實際作法與運作狀況。確保安全的重要作法,往往都在於程序面而非技術面,唯有自身具備豐富經驗的供應商,才能為企業提供更多實務建議。


最後,則是充足的資源,備受關注的技術課題早已是所有供應商的基本條件之一,人力資源與調度機制反而才是關鍵。舉例來說,當企業因為電子郵件附檔而導致上千台PC同時中毒時,如何儘速處理並解毒,就是恢復正常運作的唯一途徑。也就是說,企業安全一旦出現問題或缺口,往往需要耗費大量人力來做修補,供應商是否能提供靈活而充足的人力調度及支援,就成為重要的評選條件。


截至目前為止,企業安全委外服務仍是一塊新興領域,寥寥可數的服務供應商仍把主力放在第一種委外作法,也就是遠端存取模式,希望藉此達成客戶節省成本的期望。然而,如前所言,對於許多客戶而言,成本往往不是首要考量,同時還必須兼顧對供應商的信任感與本身獨特需求的滿足,所以,派遣人員進駐現場的第二種委外作法,是近兩年來在亞洲以及台灣地區快速成長的方向。


面臨成本與挑戰皆居高不下的企業安全課題,如何透過委外服務以達成最佳的分工合作模式,不僅是當前最具成本效益的解決方案,也是以多重保障維持正常營運的最佳防護之道。(本文作者為台灣IBM公司資訊服務部協理)