觀點

委外,Are You Ready?心動,不如馬上行動?

2002 / 02 / 25
委外,Are You Ready?心動,不如馬上行動?

文/郭慧姿


根據與一般企業接觸的經驗,MSSP(Managed Security Service Provider,資訊安全管理服務供應商)表示,由於近來資訊安全事件頻傳,台灣大部分企業其實對資訊安全已具有危機意識,並可接受資訊安全委外觀念。不過目前仍有不少資訊安全相關業者本身對於台灣市場持觀望態度,認為台灣市場尚未成熟;而MSSP鎖定的客戶是不是也做好委外的準備了呢?面對MSSP提出的各項服務,企業在心動之餘有沒有馬上行動?


資訊安全技術牽涉廣泛,目前MSSP(Managed Security Service Provider,資訊安全管理服務供應商)尚無法提供完整服務,而且提供資訊安全委外服務需要雄厚資本,再加上MSSP眼中的目標客戶仍有一些狀況;這些都是目前資訊安全相關業者對於台灣資訊安全委外市場持保留態度的原因。


台灣市場已經成熟了嗎?
鈺松國際總經理徐鈺宗表示,資訊安全技術相當複雜,涵蓋了防火牆系統、IP位址轉換系統、防毒系統、存取控制系統、安全認證系統、紀錄及報表的維護、頻寬管理系統、網路資源過濾、高度的可靠性、入侵偵測、用戶管理與安全政策的制定,他認為,「企業選擇委外的考量點在於MSSP是否能夠提供完整的服務,或符合未來企業發展在資訊安全的需求」,面對目前MSSP多不能提供完整服務的情況,他擔心「如此一來,可能造成一件委外工作必須進行分割,恐怕會引起不必要的責任推諉」。


日前微軟、VeriSign、英特爾、安侯建業、甲骨文、惠普、AT&T、IBM、RSA、思科、組合國際與賽門鐵克等19家高科技巨擘,選擇委由MSSP負責營運19家業者共組之SOC(Security Operating Center,資訊安全監控中心),「可見資訊安全有其難度與專業度」,鈺松國際總管理處協理高國寶強調,這也是為什麼鈺松國際雖然自認具備技術、人才、法務與教育訓練的優勢,對進入台灣資訊安全委外市場卻仍抱持「快不一定好,慢也不一定不好」的謹慎態度,將先以資訊安全評估開始,持續、階段性推出資訊安全委外服務,因為「MSSP若沒有完全準備好,將對客戶造成傷害」,高國寶表示。


賽門鐵克資訊安全事業部行銷經理許淑菁表示,MSSP提供服務時,雄厚資本、專業人力與設備缺一不可。徐鈺宗也指出,資訊安全委外服務的先期投資的確相當高,因此客戶量必須超過一定數量才能達到損益平衡,而損益平衡的難以達到正是目前台灣多數IDC與ISP等Service Provider經營備感艱辛的主因。


許淑菁表示,教育、顧問、建置與委外是全球賽門鐵克提供的四大服務,在美國與英國等資訊安全委外服務成熟市場,賽門鐵克已斥鉅資建置SOC,至於台灣必須則視未來市場發展狀況而定,「賽門鐵克亞太區總裁Garry Sexton就認為目前亞太區的SOC市場並不大」,因此現階段在台灣市場暫不投入資金在SOC;台灣賽門鐵克總經理史秀蓉就曾表示,資訊安全專業人才培育是目前的當務之急。


另外一個令部分業者認為目前看似熱鬧滾滾的市場其實尚未成熟的原因在於,被視為MSSP最主要目標客戶的金融、政府、軍方、高科技產業目前皆有不同狀況:首先,大家公認最注重資訊安全的金融單位,目前擁有24小時的網管人員,因此委外的需求不高,而據黃寶仁指出,金融機構若將資訊安全工作委外也與財政部規定背道而馳。其次,徐鈺宗表示,政府單位雖有委外的需求與意願,但多以價格為取向;至於軍方則希望採購買系統自行運作,委外意願不高;而2001年高科技產業普遍籠罩在不景氣的低氣壓中,預算大幅刪減。因此,雖然根據國外眾多研究報告指出,全球資訊安全委外市場將有極大的發展,但是整體觀之,目前國內市場並不亮麗,「誰能勝出,尚不得而知」,徐鈺宗認為。連斥資千萬建置SOC的精誠資訊也坦承,至2002年年中都算是市場教育期。


委外市場可望開花結果
台灣科技大學資訊管理系教授盧希鵬表示,根據研究,企業考慮資訊安全要不要委外時,有3個重要評估因素:第一,資訊系統或Data對企業的重要性;第二,目前外在環境是否有能力夠強或值得信賴的業者;其次,是企業本身處理資訊安全能力高低。盧希鵬分析,委外模式不外4種(見圖):第一,當Data重要性高/企業能力強時,企業自然選擇自行管理;第二,當Data重要性低/企業能力弱時,則企業會選擇委外;第三,若企業能力強/Data重要性低,端視企業的資源分配,企業可能自行管理,亦可能選擇委外;第四,若企業能力弱/Data重要性高,委外則具有極高風險,建議企業應採取策略聯盟的方式加以因應。


盧希鵬說,當企業面對委外需求時,難免出現「MSSP到底在作什麼?」、「委外安不安全?」等疑慮;而除了企業能力與Data重要性二項考量指標外,企業還需考量MSSP在技術、頻寬、基礎建設...的成熟度,尤其永續經營是企業長遠目標,面對目前MSSP普遍經營歷史尚淺,企業擔心MSSP難予永續經營的承諾。


此外,「不習慣」是另一個企業對資訊安全委外的心理障礙,以致於對MSSP產生不信任感,使得理論上相當完美的委外模式,需要長則數年的時間為企業所接受。盧希鵬指出,「資訊安全委外的推行障礙並不在日新月異的技術,而在於人心的適應較慢」,因此,在資訊安全事件頻傳,而知名MSSP又提出相當不錯的資訊安全委外服務的情況下,企業就出現了心動但不會馬上採取行動的情況。黃寶仁證實,「目前MSSP承接到的業務量未如預期」,而由於業者已盡量將價格壓低,所以,「價格絕對不是首要問題,障礙在於企業擔心委外不安全」,「如何取得客戶信任是一大課題」。


黃政杰則表示,隨著網際網路盛行、入侵者的技術知識有增無減,益形複雜化的攻擊手法,讓國內企業對於資訊安全已有危機意識,也可以接受訊安全委外的觀念,但他不諱言,委外是否會涉及企業機密、MSSP究竟能提供哪些服務,以及要花多少錢?皆是企業思考的因素,因此「企業究竟願意投入多少資源在網路安全的建置與維護?」、「如何縮小企業危機意識與實際行動的差距?」正是目前MSSP拓展市場時思考的問題。


不可否認,MSSP突然倒閉而對客戶撤手不管的案例已經在國外發生了,不過其中激發出來的珍貴省思倒是值得企業作正面思考:選擇委外並不代表企業就可以完全置之事外,「企業內部仍需專業人員進行管理」,許淑菁表示。委外也不是代表企業對於管理棄權,黃政杰就指出,委外服務的重點在於補強企業的弱點,盧希鵬也強調,資訊安全畢竟是一件極為專業的事,並非讀幾本書就可以學會,當人的習慣經過一段時間改變,而且MSSP又能持續經營贏得客戶口碑,則資訊安全委外市場將可望開花結果。



資訊安全委外停、看、聽
委外的基礎在於信任,黃寶仁指出,新光組合的做法是先以易取得信任的新光保全、新光人壽等本身集團公司為主,希望做出口碑,以得到更多客戶。扮演委外市場中的使用者角色,遠傳電信安全管理處經理徐子文即表示,MSSP是否以ISO17799/BS7799作為作業管理規範、MSSP內部工作人員是否具備相關證照會是企業考量的重點,因為當企業選擇委外時,MSSP的作業方式已成為企業流程的一部份。


此外,洪欽滿建議,企業除了應評估本身經濟規模外,MSSP的品牌與知名度、團隊人員的學經歷、業務往來對象、作業流程都是企業評估時應該應關注的焦點,鈺松國際總經理徐鈺宗就強調,MSSP的工作人員一定要很專業,「否則企業自己找個不夠專業的人就好了」。


另外,盧希鵬提醒,根據國外統計,資訊安全問題的發生,超過80﹪以上的比例源起企業內賊,很低的比例才是系統本身的問題,因此資訊安全委外在系統上的效益良好,值得擔心的是企業本身或MSSP的從業人員是否會有惡意行為;所謂道高一尺,魔高一丈,資訊安全問題廣泛,所有的威脅並不是同一家MSSP可解決的,尤其有些資訊安全問題也並非委外就可以解決的,盧希鵬強調,「資訊安全應該是整個國家的聯合防禦,而非單一企業可以防堵」,這也是目前政府在國家資通安全會報下設「危機通報工作組」的用意。









提供給MSSP參考
台灣科技大學資訊管理系教授盧希鵬表示,當企業已經認知資訊安全很重要,進入評估自行管理或委外何者較節省成本時,通常就會根據委外的重要理論-成本交易理論進行評估,了解交易過程中包含金錢、時間、效率、效果等許多不可見或可見的成本:

1.交易前成本:評估搜尋與了解MSSP情報、議價、下訂單、訂合約等過程的成本是否低於自行管理;

2.交易中成本:維護的費用是否低於自行管理;

3.交易後成本:評估監督MSSP服務的情況,甚至未來若發生糾紛時,需要談判的成本,以及當安全問題不幸發生時,委外可否比自行管理更能即時處理。

當企業評估業者可以即時處理/監督,其成本低於企業自行管理一定程度,企業就會選擇委外。盧希鵬表示,當MSSP希望所提供服務為企業接受,不妨評估本身在交易前中後的成本,是否能被企業接受。