https://newera17031.activehosted.com/index.php?action=social&chash=b5f1e8fb36cd7fbeb7988e8639ac79e9.3134&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=b5f1e8fb36cd7fbeb7988e8639ac79e9.3134&nosocial=1

觀點

選擇委外 人財兩得

2003 / 03 / 05
梁玉蓉
選擇委外  人財兩得

雖然整個大環境不景氣,各企業所面臨的資訊安全威脅卻沒有因而減緩;企業主雖然購買了防火牆、掃毒軟體、入侵偵測等資安產品,資訊安全事件也並未減少;此外企業在執行資訊安全工作,除了昂貴的軟硬體設備外,找尋專業的IT技術人員及顧問所需的花費也是一大負擔。因此,在協助企業以節省營運成本及補強人力不足的大前提下,資訊安全管理服務供應商(Managed Security Service Provider,MSSP)所提供的資訊安全委外服務,對企業而言,是一大福音。
委外商機
不論是政府單位或企業組織,其IT技術人員面對愈趨複雜的基礎建設及資訊安全產品,在建置與維護方面都需要配合調整並隨時提昇專業知識,而目前這些都是相當缺乏的。因此為了追求效率以及提昇競爭力,在強調專業分工的同時,將非核心業務交由委外單位處理,除了解決現有問題外,同時也可讓IT技術人員更專心從事核心業務的規劃和開發。企業目前所面臨的問題是資訊安全的專業人員不足,加上養成也大不易,因而在人力及專業能力不足的情況下,以提供客制化為企業用戶量身打造的資訊安全專業服務,將更形重要;同時資訊安全監控中心(Security Operating Center, SOC)機制的委外服務,對MSSP而言,則是另一商機。

市場熱絡!
根據市場研究機構IDC的預估,2003年全球資訊安全委外管理服務市場,將成長至23億美元的規模;另一家研究機構The Yankee Group也預估,到2005年全球MSSP的收益將超過26億美元。而根據資策會MIC的調查分析報告,我國在資訊安全服務市場的規模,從2002年的20%增至2005年的24.2%。MIC認為,資訊安全委外服務仍集中於政府領域,但金融和傳統企業已經有規畫建置案出現;不過唯一的挑戰是,企業用戶對委外服務市場是否信任,將是一大關鍵。

綜合各機構的研究調查顯示,可以預見的是資訊安全委外服務市場的商機漸起。另外,行政院在2002年底核定頒佈「資訊業務委外服務作業參考原則」,勢必也將帶動委外服務市場。再加上數位台灣計畫中,提列高達300億經費準備採用委外方式進行,預期也將帶給資訊服務業者及相關廠商龐大的商機。

買氣冷淡
雖然資訊安全委外服務市場如此看好,但精誠網路軟體技術處長黃政杰表示,如果企業之IT人員對資安的管理及應變能力不足,常讓企業主陷入兩難局面:委外,IT人員的功能為何?;不委外,現有設備、人力無法負擔企業的資安維護。黃政杰認為台灣資訊安全委外服務市場目前仍是起步階段,所以精誠初期的作法是,先藉由市場之推廣,讓企業用戶知道精誠資訊安全管理服務(Managed Security Service, MSS)所提供的服務內容及優點,再依客戶的需求量身訂做提供客制化的安全管理服務。

可以提供全球化資安監控,並提供趨勢預警與分析的鈺松國際大聲表示,「中小企業就是我的市場」,可見鈺松SOC委外服務的目標市場是中小企業。雖然企業e化,加深中小企業對資訊安全的重視,但現實的問題是無足夠的財力和人力,所以鈺松將以價格主打安全服務層級較低的市場,目前價位仍在擬定中。

提出國內第一家專業保全委外服務概念的立駭科技,早期在政府及軍方單位已有不錯的成績,但去年拿到台北市政府標案,至目前為止是最大的案子。近期立駭已改變推廣方式,專注於幫助客戶建置SOC機制,並幫助客戶整合資安產品平台,而最後監控由客戶自行擔任。立駭業務處資深經理曾文德表示,由於企業經營者對資安的認知還不夠清楚,部份對資安的觀念有所偏差,認為企業在資訊安全上若沒有問題發生,這是理所當然的事;一旦發生問題,就只好自認倒楣....。再者,一般企業並未對公司資產做好資安效益評估,一旦資安發生漏洞,加上目前沒有一個仲裁機構,業者和客戶之間沒有法規和制度來劃分雙方的權利義務和責任歸屬,因此曾文德認為SOC委外服務還有一段路要走。

資訊安全為什麼需要委外?
由於科技的日新月異,資訊安全事件層出不窮,加上手法不斷的翻新,在企業因人才及能力不足之下,成本、安全及時間,是資訊安全選擇委外的考量因素。

降低成本支出

資訊安全委外服務,可以說是一種網路的保全服務,企業用戶以租賃的方式取代資訊安全產品的採購,因此可以降低費用的支出,又可獲得委外服務業者提供24小時全年無休的遠端監控服務。除了分攤企業內部資訊人員的工作份量及困擾外,同時也解決資訊室主管的難題。此外,如果企業已購置資訊安全產品,委外服務業者也可以將其現有產品做好整合,依產品功能重新規劃運作並做好管理。

解決資安人才不足、能力不足

從管理制度面解決資訊安全問題的重要性已漸漸受到認可與重視,企業用戶產生對專業服務的需求,除產品的購買及設定外,也包含流程的調整和管理規範的建置。面對資訊安全風險的瞬息萬變,新的病毒、新的駭客....,加上管理日趨複雜,企業內部在專業人才不足及降低營運成本的考量下,委外是必要的,因為資訊安全的工作樣樣自己來可是吃力不討好。

選擇委外服務的標準
資訊安全委外服務市場的需求是絕對受到肯定的,資訊委外服務的觀念在國外行之有年,國內的企業也開始漸漸重視此一趨勢,因此資訊安全委外服務業者的背景是否公證,可讓企業安心將資訊安全問題委外;業者是否有能力提供資訊安全產品的技術與服務以滿足企業全部的需求;業者投入人力及素質是否足夠並達到一定的水準;業者提供的服務水準以及面對日新月異的駭客技術是否有足夠的研發團隊提供相關支援等,這些都可做為企業選擇委外服務時考量的因素;當然,對業者而言,這些也是影響資訊安全委外服務發展的重要關鍵。

資安人的叮嚀
*鈺松國際業務行銷協理 林大森:
在選擇資安產品時,不能以價格和佔有率為最主要的考量,後續的教育、服務更重要。
致遠企業風險管理部經理 莊強閔:
企業資訊安全是完整的解決方案,而不是買一堆產品。

*ING安泰人壽資訊安全室資深協理 江韶文:
只要有人,就有資訊安全的風險,因此,既然人是資訊安全最大的風險所在,那麼資訊安全就是全公司的事,而非單單只是由IT人員,或是由資訊安全專責單位來負責。

*中國商銀資訊處長 黃永貴:
安全無價!安全無止境,只有堅持下去者,才是最後贏家。

*安侯建業副總經理 陳瑞祥:
要做好資安,不單只是買些防火牆及其他軟硬體而已,回歸最基本的問題,是如何做好內部人員的控管及建立資安的管理系統。

*精誠網路軟體技術處長 黃政杰:
針對已有的資安產品,做好管理機制,讓產品的功能發揮極致

*普華資安總經理 包化富:
資訊安全的基本概念就是教育全民及政府建立一個「信任」的共識。