觀點

經濟衰退下的資安策略

2009 / 07 / 09
廖邦彥
經濟衰退下的資安策略
全球經濟不景氣,在寒冬中要如何排列出資安預算,維持企業營運?

  全世界經濟在高油價、高通貨膨脹及二次房貸危機的包圍下,很多公司開始凍結預算與人事,儼然在溫室效應的環繞下,經濟的寒冬就要來臨。被大多數公司歸類為成本中心而非利潤中心的資訊及安全部門,要如何在這樣的情況下,不傷害到企業的資訊安全環境,並維持工作的營運,及同時兼顧到成本?如果今天老闆走到你桌子面前,問你打算怎麼控制成本來幫公司度過艱難時期的時候,你的心理是不是有個底了?

資訊如同保險

  資訊安全其實跟保險有蠻多相似的地方,更精確來說,資訊安全提到的是消除、降低或者轉移風險,而保險則是轉移風險。我們常可以看到,當一個人經濟轉況轉差時,第一個被拿出來檢討是否需要的就是保險。以家庭來講,關係到家庭穩定保障的保險,在經濟環境不好時,才更要確保萬一屋漏偏逢連夜雨,遇上了一些突發事件,是否有足夠的風險屏障,能夠承受雙重打擊。但很可惜,大部分的人,遇上經濟蕭條的情況,常常就是把所有保險都取消。資訊或安全部門,也常常就被過分犧牲掉。我想現在這個時代,很少人有勇氣不繫安全帶,就開車一路飆上高速公路;那麼,為何會沒有檢視需要的資訊安全功能就大幅的將之刪減呢?

  上一段講到一個重點,就是足夠的保險方案。談到這個主題,並不是讓我們去買最貴的保險,把所有的保險產品都買回來。當然,如果有足夠的財務後盾,在合理的情況之下用保險把風險降低當然好,但是在經濟環境不許可的情況之下,更重要的是怎麼去衡量哪些是你不可或缺,可以在風險發生時能夠阻止可能一發不可收拾的骨牌效應。同樣的,在資訊安全的角度,哪些部門功能是不可或缺的?各種資安服務的重要性為何?對於企業哪些是不可以被忽略的?舉例來說,網站安全對於電子商務公司來說是絕對不可以被省略的。而對於律師事務所來說,文件的分類、保護、銷毀則是資訊安全的重點,所以依照公司企業的不同特性,在經濟衰退之下的安全策略也有可能會大不相同。

對的策略

  所以,要怎麼樣在經濟環境有困難的情況之下規劃你的資安策略呢?雖然每個產業都有所不同,每家公司所需要的精簡支出需求也不同,這裡仍然有一些可以提供大家參考的方向,以下的各點可以視為一個提供參考的列表,依照實際的需要,針對每一個不同的領域來考量是否有調整的空間。

策略1,讓公司所有員工都來進行資安計畫在不是太好的經濟情況下,想要增加人手是不太可能了,如果你不需要將部門內部重整、裁員就已經不錯了。姑且不討論是哪一種情況,你要怎麼樣才能夠有足夠的人手呢?其中一個方法你可以考量的,就是利用公司現有的所有員工來進行資訊安全的一些案子。舉例來說,員工一般所需要的使用者安全訓練、危機事件處理的初步發現與通報、可攜式資訊設備安全保護的執行,這些,很大的部分都是要靠整個公司使用者的推行才能成功的計畫,換一個角度來看,這正是推行需要公司全員配合計畫執行的大好機會;當然這個策略也不是要你找個做審核財務報表的員工來審核防火牆記錄。

策略2,檢視難度不高計畫的好時機似乎在一個企業或者是部門裡面,永遠都有做不完的事情跟計畫,有時候無可避免的有一些其實困難度並不太高,但卻因為其他計畫的優先性而一直被擱置,然而在經濟衰退下的環境,很多大規模的計畫被暫緩擱置的時候,此時卻正是一個好時機,把以往重要性相對來說較低、但難度不高、早就該做卻沒做的計畫拿出來執行。資訊安全領域有一個說法,你的環境安全強度相當於所有系統裡最弱的一環,很多的企業組織專注在稽核的要求或者企業注重的重點(比如電子商務公司著重網站的安全)等其他計畫時,很多執行起來並不困難的計畫卻一直被擱置,現在正是你拿出來把這些計畫完成的好時機,盡量減少公司任何較弱的一環。

策略3,重新將現有的服務合約談過經濟不景氣是大環境的問題,不只一家公司而
已,很多服務公司針對客戶,提供更好的優惠來吸引新客戶或是留下老主顧。而在經濟正常時,很多情況為了專注在其他更重要的計畫,有些不太大的合約就一年一年的續約下去,而並不是所有的服務公司都會主動幫你調整新的合約條件。因此你需要把現有的服務合約檢視一遍,是否有不合理情況,順便也看看服務廠商是不是有更好更優惠的組合。

策略4,可以創造收入/減少支出的計畫這個部分可以從短期以及長期來看,舉例來說,與上下游廠商合力導入統一認證系統(IDM/IAM),單一就從這個計畫來看,是需要支出的。可是如果從程式開發的部分,卻可以大大減低認證、授權模組的開發時間、減少系統開發支出及增加系統安全性。所以如果從這個角度來看的時候,這種計畫卻是可以幫企業組織減少支出。一般來講讓支出減少的計畫比創造收入的計畫來得容易,但是無論如何,能夠比較清楚的把預估的花費以及減少支出做一個計算,對於計畫的審核會來的容易的多。光是一句「長期來說,這個計畫可以有效降低開發成本」是並不足夠的。

錯誤策略
講完了你可以考慮的策略, 現在來談談你不應該有的策略:

錯誤策略1,把花費最大的部分砍掉如果你要看上個月花錢哪裡花多了,通常整理
完項目後,最常被拿出來檢討的一定是花費最大的一項,但是這樣的做法是有爭議的。沒錯,大項目支出如果能夠減少,那麼對於節約財務資源的確是有較大的幫助,但是更應看的是項目的重要性,而且必須從長遠來看。如果一個家庭最大項的支出是飲食,那麼是不是不要吃飯了?如果拿開車來講,燃料費是最大的消費項目,那是不是要去加品質不好的燃料,可是2年以後車子的引擎會報廢,需要花更多錢的整修,這樣的方式可行嗎?這是值得深思的。可惜的是人往往都會有這樣做的趨勢,列舉出完整的利弊分析,可以幫助你做一個好的決策。

錯誤策略2,將資訊技術與資訊安全工作合而為一整合資訊技術與資訊安全工作,基本上好像就是司法體系為了省錢,而下的決定,讓所有的法官兼任律師,或者說讓球員可以兼裁判。不用多說,大部分的人都可以理解這樣做是不行的。然而,不要小看了這個部分,很多公司都會把這兩樣的工作整合起來,節省人力也好、權限規劃也罷,這樣做是不對的。當然,如果資訊安全其中包括執行的部分(例如管理防毒、安全的配置與管理系統),這些本來就可以併在執行部門進行工作的,所以我們所提的不合適合併指的並不是這個部分,在這我們想要避免的是盲目的將有衝突的工作整合在一起。

  但很多事情,並不是只有黑與白,0與1,今天
的主題也是一樣的,下面要談到的這個策略,在很
多的情況下是見仁見智,更重要的是如何在節省支
出以及資訊環境穩定取得一個平衡。

策略問題:資源開放

  開源碼或者自由軟體。個人對開源碼並沒有任何的意見,我也常使用很多不同的開源碼作為解決方案,然而,如果只提到為了節流,就要使用開源碼,我並不贊成。一個資訊方案,從開始計畫、測試、導入,及很多的配套措施包括災難復原、使用者訓練等,不是三言兩語就可以講完。如果因為經費的原因,就把原來的解決方案換成開源碼,真的可以省到錢?功能效率也是所期待的?若是將自由軟體的解決方案考慮進來,應該在要導入系統,決定解決方案的時候就要列入考量了,而不是為了省錢,事後是不是要花更多的金錢、人力、時間上的損失都還不知道,就把它視為一個節約救命仙丹。

結論

  談完了那麼多不同的策略,其實還有更多沒有列出來。提醒大家,必須以資訊安全的整體性為考量,無可避免的一直專注在如何節約,很容易就會把財務的目標放在第一位。這樣並沒有什麼不對,然而財務目標優先不代表就可以捨棄資訊安全,也不是說可以把資訊安全的重要性降到最低。最重要的目的是,在現有的情況以及資源下,如何能夠不傷害到資訊安全的本體,在其他一些可以考量的部分去配合公司以及整個經濟環境的現實情況,讓可支配的資源能為資訊安全做一個最大的利用。