https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

資安預算多少才合理?

2009 / 02 / 05
Justin Wu
資安預算多少才合理?

推動資安最難搞定的就是「人」。如何爭取高階主管重視、得到跨部門支持,考驗資安人員的溝通技巧。

如果問問台灣一般的企業「資安做得怎麼樣?」,大部分都面有難色的說「我們公
司目前還沒有這筆預算…」,不能怪老闆不掏錢,只能說這是資安觀念的普遍不足,那麼資安預算究竟要多少才合理呢?

資安預算=保險費?
IT人員向老闆做完風險評估報告後,多數老闆會問:要花多少錢,才能避免這些風
險?是不是花了錢,就不會有這些風險?企業資訊安全人員常常認為老闆都是以
錢為重,對於要花錢才能處理的事都要再三考慮,加上資訊安全的防護與控制又很像買保險一樣,有風險不代表一定會發生,常讓老闆退避三舍。隨著網路科技演進和駭客思維改變,資訊安全的投資似乎變得越來越漫無止境,買完防毒系統又要來個防間諜軟體的系統,有了防火牆,還要來個防毒牆,再
加上電子郵件過濾系統?。
對於企業老闆來說,這些投資的效益其實很難看得到,這幾年來企業的經營愈來愈
不容易,老闆在面對這些經營壓力之下,可能還會回過頭來反問資訊安全人員:三餐都吃不飽,你們還會想拿錢去買保險嗎?

資安預算 V.S. 風險評估
老闆的顧慮不無道理,而企業的資訊安全也不能棄之不顧,最好的方式仍是要回歸
基本面:「先了解企業的風險在哪,並將風險等級分類;而資訊安全的投資當然是由高風險處著手,同時考慮企業的營利狀況,階段性的來導入」,如此才能在不影響企業經營的情況下,有效的鞏固企業資訊安全。
如果企業沒有執行適當的評估,就貿然以直覺或是市場熱門的議題決定資訊安全
的投資方向,沒有達到預期的效果,還白白浪費了許多人力、時間與金錢。也有部分的企業資訊安全人員,會採取以技術為導向的資訊安全投資,如此常會忽略了企業真正的需求與弱點,最終只為了資訊安全而資訊安全,可能會有前門築了一道高牆,後門卻門戶大開的情況產生。
當然也可能有評估不確實、評估方式不正確,或評估標準不一致等結果,其所造
成的影響也是難以評估。就如2008年初的新聞,原定要去印度洋海域參加演習的英國「無畏號」,因為冰箱壞了,食物容易腐敗,進而影響戰力,只好提前回國換冰箱。
這個實例告訴我們,無論船艦搭載再多的最新武器、再多再精良的官兵等等,但是最基礎且重要的裝備:冰箱,被忽略了,如果這是真正的戰爭而不是演習的話,相信損失是難以估計的。如同企業對於資訊安全的投資,也許投資了最頂級的防火牆系統、防毒系統,但是可能因為忽略了定時執行作業系統修正與更新,因而讓駭客或是毒蟲還是有了攻擊的管道一樣。
風險評估絕對是資訊安全投資的重要基石,也許資訊安全人員在風險評估的步驟、經驗上會有所不足,但這都可以尋求外部教育訓練或顧問等管道來協助。重要的是,最了解企業的弱點的還是企業本身,資訊安全人員必須要以企業風險的角度協助公司成員嚴格審視自己所負責的業務,找出企業的關鍵風險。

合理的統計與量化數據才是說服老闆的重要關鍵
企業老闆總是希望錢能夠花在刀口上,舉例來說:企業統計年度的病毒攻擊事件所造成的損失約台幣500萬元,與許多無形的企業商譽損失。而經風險評估後,導入相關資訊安全控制能將損害機率與金額降至10%,若假設資訊安全投資的預算剛好也是500萬,你是老闆,是否會同意這筆預算呢?
除了有完整的風險評估作業之外,更要懂得將風險量化,並針對不可量化的風險進行分析與討論,才能讓老闆在資訊安全風險與企業經營有衡量上的基準,進而說服老闆進行相關的建置與投資。

結論
過度投資或是完全不予理會都不是好事,企業資訊安全人員最重要的職責是執行合理的評估,並以宏觀的角度來衡量企業的資訊安全風險,進而找出企業的關鍵風險。但無論選擇佈建何種控制,最終選擇採取預防、偵測或是補償性的控制方式,則由企業經營者考量企業營運的成本與風險來決定。

利用風險評估 
實現資安預算的衡量


針對使用風險評估,來當作資安預算的考量方式。IBM全球資訊科技服務事業部顧問經理陳俊昌以其資安推導經驗提出在實務執行面的建議:在風險評估的表達方式上,不外乎2種方式:量化、非量化。
對可量化的評估,可以使用公司內部原有的風險評估指數,對照過去發生
資安事件時所造成的金錢、人力損失,設定公司專有的評估標準。而如果公司過去並沒有相關的經驗值可以參考,陳俊昌建議,可以參考國外資安調查報告的數據,像是美國電腦安全局與聯邦調查局電腦犯罪與安全調查(CSI/FBI Computer Crime and Security Survey),或澳洲電腦犯罪與安全調查 (Australian Computer Crime and Security Survey),由於前者只有提供數據,沒有實際金額,但後者主要針對澳洲政府單位做調查,每年在不同的安全事件下,平均會損失多少澳幣,其參考的範本數值夠大,因此陳俊昌尤其建議可以參考後者的調查報告,以此為依據,評估企業若不做到何種程度的資安建置,便可能造成危害,屆時的損失就能以數據呈現,便於讓高層決策者了解。
而無法量化的評估,既然無法使用數據來呈現,陳俊昌認為,可以找出企業的核心、競爭力或業務發展方向,再檢視與其資安建設是否有關聯性,例如說,IT部門可能會有精簡化、降低成本的目標,或是要能提供多樣化的服務,找出這些點後,再從資安策略來考量,作這些事情的時候是否與
安全有關聯性?儘管它是無法量化的,依然可以找出它的成效所在。又或者,目前也有些作法是採取安全事件下降的比例,來制定風險評估的方法。
除了以上2種方法,陳俊昌也表示,還可以從行業別來比較,與國外同行相比較,與國內其他行業來比較,在同樣的條件之下,本身的建置是否不足?也可以此作為考量資安預算的方式,畢竟在同行當中,資安建置落後者,自然也成為攻擊的好目標。
以上提供幾種實務性建議,都可作為企業資安預算評估的考量。