破除中小企業的資安迷思

看了上面的案例，你是否覺得情境很熟悉，甚至感同身受？沒錯，以上所述，正是台灣的中小企業面對資安時，最常發生的狀況。
案例一的王先生，認為資安是多餘的花費，不用急著現在做；案例二的A公司面對上游合作廠商的要求要做資安，不知從何做起；而案例中的小李，知道資安的重要性，也花錢買了產品，卻不知道如何管理。
迷思一：資安是多餘的花費
將公司定位為「中小企業的MIS」的智享科技，其規劃師林之璋就指出，一般中小企業會把預算放在具「急迫性」及「現實面」的部份，因此在資安建置上，相對比較弱勢。

他說，「這幾年資安觀念在發酵，許多中小企業主開始了解資安議題，並接受這樣的概念，但一旦要真正開始下預算時，絕大多數的企業主都會遲疑」。他笑著說：「知與行是不同的！」

Seednet企業網路事業部協理李佳哲也說，「雖然大多數中小企業主認為資安是沒必要的，但真的沒必要的很少，事實是，他們不知道自己需要什麼。但只要他們從『資安出問題，會損失多少』這樣的成本概念來看，就知道自己需不需要。」中華電信數據通信分公司企業客戶處處長馬宏燦則指出，「現在中小企業上網的數量那麼多，對各種服務的需求也大增，但我們看到的，是多數企業主有需求，卻沒有被滿足。」

多數業主認為，安全要花錢，所以「以後再談」，卻忽略了病毒、駭客的惡意入侵，絕不會等到你「準備好了」才開始。也沒有想過，這筆看似「多餘」的花費，一旦發生效用，其實可以為業主節省更多。

迷思二：買了產品就算做資安
然而，就算業主意識到資安的重要性，他就一定能做好資安嗎？答案是否定的。大多數業主容易掉入產品迷思當中，一想到資安，只想到採購防毒、防火牆等產品，卻忘了從「制度面」下手。
所謂的「制度面」，指的是資安的管理制度。公司要保護哪些資產？該用哪些動作或產品達到目的？設備誰來管？如何管？都是重要的。「業主對資安的概念是殘缺的，宣導上也做得不夠。」林之璋說。「這會造成員工只做個樣子，或說空有一個型在那邊，卻沒有真正落實資安精神。」

舉例來說，異地備援重要性大家都知道，但就算購買了產品、選了地點，但卻缺乏中間的管控流程，則再好的產品也無用武之地；沒有管理制度，資安就會漏洞百出。

在這個問題上，或許資安設備供應商要負一點責任。如果廠商碰到客戶，只會一味地說自己的產品有多好，卻沒有提供更多資訊供客戶做參考，則業主根本無從判斷到底自己需要什麼、適合什麼。

例如，市面上有宣稱具有防火牆功能的IP路由器，但若廠商不說明其容量有多少，企業主不會知道產品在使用後，整個效能會下降。

迷思三：MIS可以管好電腦，一定也能搞定資安
當然也有企業主又有資安概念，又願意真正投資在資安上。不過企業主一般非資訊本科出身，對資訊環境的建置只能仰賴MIS。但通常，MIS只熟悉資訊設備，要他來管理資安，實在有點為難。

有的時候，MIS的人力、能力不夠，光是修理電腦、印表機等設備，就忙得不可開交，遑論再去吸收資安知識。馬宏燦就說，「中小企業在資訊人員方面大體上都很缺乏，很少有專任資訊人員。因此，造就了ISP的服務機會及能量。」

如果MIS沒有良好的諮詢對象，則可能就將自己封閉起來，不去碰它。更慘的是，連MIS也以為買了產品就是做資安，到最後發現，根本無力對系統做調校，發生問題也不知道該如何處理。


解決頭痛的資安問題
針對中小企業，可以從下面幾點做起：
1. 導正觀念：資安是企業永續經營的必要投資。因為無論是資訊被駭客偷走、系統因病毒而當機或資料因而損毀，對企業主而言，都是無法挽回、且無法回復的傷害。輕則損失金錢，重則企業信用破產。為了避免悲劇發生，業主本身就該導正觀念─資安是必要的投資，且要從現在開始做起。

2. 從制度面下手：先了解自己要的是什麼，建立良好的管理制度及流程。不要讓資安變成形式、流於空談。對於產品的選擇，更要多方比較。讓產品在有良好管理制度的前提下，發揮它最大的功能。

3. 自己能力未逮之處，就委外：不要什麼事都想自己做，對於資安也是如此。如果企業中一時找不到合適且稱職的資安人員，就將這部份委外，讓專業的人來服務、來操心。