https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

破除中小企業的資安迷思

2004 / 07 / 28
潘玉女
破除中小企業的資安迷思


看了上面的案例,你是否覺得情境很熟悉,甚至感同身受?沒錯,以上所述,正是台灣的中小企業面對資安時,最常發生的狀況。
案例一的王先生,認為資安是多餘的花費,不用急著現在做;案例二的A公司面對上游合作廠商的要求要做資安,不知從何做起;而案例中的小李,知道資安的重要性,也花錢買了產品,卻不知道如何管理。
迷思一:資安是多餘的花費
將公司定位為「中小企業的MIS」的智享科技,其規劃師林之璋就指出,一般中小企業會把預算放在具「急迫性」及「現實面」的部份,因此在資安建置上,相對比較弱勢。

他說,「這幾年資安觀念在發酵,許多中小企業主開始了解資安議題,並接受這樣的概念,但一旦要真正開始下預算時,絕大多數的企業主都會遲疑」。他笑著說:「知與行是不同的!」

Seednet企業網路事業部協理李佳哲也說,「雖然大多數中小企業主認為資安是沒必要的,但真的沒必要的很少,事實是,他們不知道自己需要什麼。但只要他們從『資安出問題,會損失多少』這樣的成本概念來看,就知道自己需不需要。」中華電信數據通信分公司企業客戶處處長馬宏燦則指出,「現在中小企業上網的數量那麼多,對各種服務的需求也大增,但我們看到的,是多數企業主有需求,卻沒有被滿足。」

多數業主認為,安全要花錢,所以「以後再談」,卻忽略了病毒、駭客的惡意入侵,絕不會等到你「準備好了」才開始。也沒有想過,這筆看似「多餘」的花費,一旦發生效用,其實可以為業主節省更多。

迷思二:買了產品就算做資安
然而,就算業主意識到資安的重要性,他就一定能做好資安嗎?答案是否定的。大多數業主容易掉入產品迷思當中,一想到資安,只想到採購防毒、防火牆等產品,卻忘了從「制度面」下手。
所謂的「制度面」,指的是資安的管理制度。公司要保護哪些資產?該用哪些動作或產品達到目的?設備誰來管?如何管?都是重要的。「業主對資安的概念是殘缺的,宣導上也做得不夠。」林之璋說。「這會造成員工只做個樣子,或說空有一個型在那邊,卻沒有真正落實資安精神。」

舉例來說,異地備援重要性大家都知道,但就算購買了產品、選了地點,但卻缺乏中間的管控流程,則再好的產品也無用武之地;沒有管理制度,資安就會漏洞百出。

在這個問題上,或許資安設備供應商要負一點責任。如果廠商碰到客戶,只會一味地說自己的產品有多好,卻沒有提供更多資訊供客戶做參考,則業主根本無從判斷到底自己需要什麼、適合什麼。

例如,市面上有宣稱具有防火牆功能的IP路由器,但若廠商不說明其容量有多少,企業主不會知道產品在使用後,整個效能會下降。

迷思三:MIS可以管好電腦,一定也能搞定資安
當然也有企業主又有資安概念,又願意真正投資在資安上。不過企業主一般非資訊本科出身,對資訊環境的建置只能仰賴MIS。但通常,MIS只熟悉資訊設備,要他來管理資安,實在有點為難。

有的時候,MIS的人力、能力不夠,光是修理電腦、印表機等設備,就忙得不可開交,遑論再去吸收資安知識。馬宏燦就說,「中小企業在資訊人員方面大體上都很缺乏,很少有專任資訊人員。因此,造就了ISP的服務機會及能量。」

如果MIS沒有良好的諮詢對象,則可能就將自己封閉起來,不去碰它。更慘的是,連MIS也以為買了產品就是做資安,到最後發現,根本無力對系統做調校,發生問題也不知道該如何處理。


解決頭痛的資安問題
針對中小企業,可以從下面幾點做起:
1. 導正觀念:資安是企業永續經營的必要投資。因為無論是資訊被駭客偷走、系統因病毒而當機或資料因而損毀,對企業主而言,都是無法挽回、且無法回復的傷害。輕則損失金錢,重則企業信用破產。為了避免悲劇發生,業主本身就該導正觀念─資安是必要的投資,且要從現在開始做起。

2. 從制度面下手:先了解自己要的是什麼,建立良好的管理制度及流程。不要讓資安變成形式、流於空談。對於產品的選擇,更要多方比較。讓產品在有良好管理制度的前提下,發揮它最大的功能。

3. 自己能力未逮之處,就委外:不要什麼事都想自己做,對於資安也是如此。如果企業中一時找不到合適且稱職的資安人員,就將這部份委外,讓專業的人來服務、來操心。