資安預算多少才合理？

推動資安最難搞定的就是「人」。如何爭取高階主管重視、得到跨部門支持，考驗資安人員的溝通技巧。

如果問問台灣一般的企業「資安做得怎麼樣？」，大部分都面有難色的說「我們公
司目前還沒有這筆預算…」，不能怪老闆不掏錢，只能說這是資安觀念的普遍不足，那麼資安預算究竟要多少才合理呢？

資安預算=保險費？
IT人員向老闆做完風險評估報告後，多數老闆會問：要花多少錢，才能避免這些風
險？是不是花了錢，就不會有這些風險？企業資訊安全人員常常認為老闆都是以
錢為重，對於要花錢才能處理的事都要再三考慮，加上資訊安全的防護與控制又很像買保險一樣，有風險不代表一定會發生，常讓老闆退避三舍。隨著網路科技演進和駭客思維改變，資訊安全的投資似乎變得越來越漫無止境，買完防毒系統又要來個防間諜軟體的系統，有了防火牆，還要來個防毒牆，再
加上電子郵件過濾系統?。
對於企業老闆來說，這些投資的效益其實很難看得到，這幾年來企業的經營愈來愈
不容易，老闆在面對這些經營壓力之下，可能還會回過頭來反問資訊安全人員：三餐都吃不飽，你們還會想拿錢去買保險嗎？

資安預算 V.S. 風險評估
老闆的顧慮不無道理，而企業的資訊安全也不能棄之不顧，最好的方式仍是要回歸
基本面：「先了解企業的風險在哪，並將風險等級分類；而資訊安全的投資當然是由高風險處著手，同時考慮企業的營利狀況，階段性的來導入」，如此才能在不影響企業經營的情況下，有效的鞏固企業資訊安全。
如果企業沒有執行適當的評估，就貿然以直覺或是市場熱門的議題決定資訊安全
的投資方向，沒有達到預期的效果，還白白浪費了許多人力、時間與金錢。也有部分的企業資訊安全人員，會採取以技術為導向的資訊安全投資，如此常會忽略了企業真正的需求與弱點，最終只為了資訊安全而資訊安全，可能會有前門築了一道高牆，後門卻門戶大開的情況產生。
當然也可能有評估不確實、評估方式不正確，或評估標準不一致等結果，其所造
成的影響也是難以評估。就如2008年初的新聞，原定要去印度洋海域參加演習的英國「無畏號」，因為冰箱壞了，食物容易腐敗，進而影響戰力，只好提前回國換冰箱。
這個實例告訴我們，無論船艦搭載再多的最新武器、再多再精良的官兵等等，但是最基礎且重要的裝備：冰箱，被忽略了，如果這是真正的戰爭而不是演習的話，相信損失是難以估計的。如同企業對於資訊安全的投資，也許投資了最頂級的防火牆系統、防毒系統，但是可能因為忽略了定時執行作業系統修正與更新，因而讓駭客或是毒蟲還是有了攻擊的管道一樣。
風險評估絕對是資訊安全投資的重要基石，也許資訊安全人員在風險評估的步驟、經驗上會有所不足，但這都可以尋求外部教育訓練或顧問等管道來協助。重要的是，最了解企業的弱點的還是企業本身，資訊安全人員必須要以企業風險的角度協助公司成員嚴格審視自己所負責的業務，找出企業的關鍵風險。

合理的統計與量化數據才是說服老闆的重要關鍵
企業老闆總是希望錢能夠花在刀口上，舉例來說：企業統計年度的病毒攻擊事件所造成的損失約台幣500萬元，與許多無形的企業商譽損失。而經風險評估後，導入相關資訊安全控制能將損害機率與金額降至10%，若假設資訊安全投資的預算剛好也是500萬，你是老闆，是否會同意這筆預算呢？
除了有完整的風險評估作業之外，更要懂得將風險量化，並針對不可量化的風險進行分析與討論，才能讓老闆在資訊安全風險與企業經營有衡量上的基準，進而說服老闆進行相關的建置與投資。

結論
過度投資或是完全不予理會都不是好事，企業資訊安全人員最重要的職責是執行合理的評估，並以宏觀的角度來衡量企業的資訊安全風險，進而找出企業的關鍵風險。但無論選擇佈建何種控制，最終選擇採取預防、偵測或是補償性的控制方式，則由企業經營者考量企業營運的成本與風險來決定。