早先談到資訊安全,各單位的目光都集中在大型企業上,如金融業或大型購物平台,然此類企業本身所擁有的資源卻也相對較高,其資訊安全經過一番努力已大致有成。近來各界逐漸將資安焦點轉移,從個資法的議題,讓我們看到朝野對資訊安全的眼光已從保護大型企業擴展到使用者身上,試圖有效降低個人資料外洩的風險,這點是可喜的且值得肯定的。
但扣除大企業及使用者隱私保護之外,仍有絕大多數的中小企業在資安的領域毫無頭緒,探究其原因,問題卻在中小企業自己身上。「沒人、缺錢、不知道」,已成為中小企業面臨資安問題的最大罩門。雖說如此,但卻不能任憑其面臨資安問題而毫無因應,筆者認為政府單位、資安服務業者甚至於中小企業本身,都有需要努力之處。
中小企業要求品質80分、服務120分,價格20分?
中小企業對於資訊安全的需求,就像你我在挑選市售商品的時候一樣,需求無非就是品質、價格、服務。然其與大企業或金融機構所不相同的是,大規模的企業可能會為了追求「100分的品質」及要求「100分的服務」,而接受100分的價格,而中小企業則不然。由於上從經營者普遍的資安認知與風險概念不足,下到資訊人員的專業人力配置要「一個打十個」,面對這樣的先天上困境,對中小企業資訊安全的需求來說,要的卻一樣是「品質、價格與服務」,差異在於中小企業是品質要80分,服務要120分(因為我不懂嘛~當然需要多一點關心),但能不能給我20分的價格呢?
就要品質好、服務讚
如果您跟筆者一樣是長期從事中小企業資訊安全服務,看到這裡應該會有深刻感觸。事實上在台灣,資訊服務廠商其實並不少,但不可否認的是資訊服務業者在現有的環境中,要提供中小企業資安服務並不容易,對提供資安服務的廠商而言,除了要接受每筆案件的價位與利潤不高,可能要數件至數十件方能達到與單一大型案件相同之營業額外,還須確保服務品質不能因案件規模而有所差異。
更困難的是必須要有大量的服務人力,才能因應中小企業五花八門的資安需求,其後續的服務成本相當可觀。這對資安服務業者來說,要經營好這塊市場並在其中取得生存空間,實在是吃力而不討好。若非資訊服務廠商本身已有足夠的服務能量,並不容易承接中小企業為數眾多的資安業務,同時提供良好服務。
還要高貴不貴
從產品層面來看,目前各大資訊業者,舉凡如IBM或hp等以往屬於「高貴」市場的大型IT業者,均不約而同推出中小企業(SMB)系列的產品線,例如以往聽到I公司的T系列系統管理平台產品,既有印象幾乎可與大型企業或金融業畫上等號,原因就是其價格及導入成本並非一般企業能負擔,即便購置了,資訊人員卻也未必能妥善駕馭其強大功能,更何況是預算、人力均不足的台灣的中小企業。但近年來已經有所改變,為了迎合SMB需求,軟體大廠均已推出針對中小企業資訊規模之授權方式,大幅降低其採購成本,期望切入台灣為數眾多的中小企業市場。然而,在中小企業市場中,企業所著重的是在有限的人力與財力上取得「堪用的解決方案」及「最好的服務」,經銷與通路業者若無投入對應之服務能量,僅僅是原廠產品價格降低,將難以取得中小企業青睞。
長久以來,除了中小企業本身資訊認知缺乏的問題外,資安廠商所提供的產品、價格與服務也不能適切符合中小企業的需求。因此對資安廠商、政府單位、乃至於中小企業本身,都有值得省思改進的地方,分別建議如下:
除了立法高額罰款遏止,政府還能…
近來政府已有針對中小企業撥補專案費用,如2009年甫結束的商業司「零售業資安品質計畫」,以及已經執行數年經濟部中小企業處的「縮減產業落差計畫」等,專款專用並委由專業執行單位對中小企業進行資訊安全之體質補強,其成果相當卓越。但由於其屬於短期輔導,目前看來並非長期強化體質與認知,政府單位可考量利用其公權力要求,搭配修訂相關法令執行方能徹底治本,以下是幾項建議:
1. 要求具備電子商務與線上交易功能之網站,須提供相對應之專業輔導協助並經過審核檢驗通過方能上線服務。
2. 定時、且長期進行資訊安全宣導,如要求「中小企業主」每年須進行固定時數之資訊安全風險認知訓練。須知中小企業的營運方向幾乎完全掌握於企業主,若企業主本身並無資訊安全相關風險認知,幾可判定此企業資安品質低落。
3. 輔導提供中小企業之資安服務廠商,強化其服務能量,並提供所需教育訓練,減少資安服務業者之能力差距,並求定時至中小企業進行資安體質檢測。
4. 建立資安解決方案透通之資訊交換平台,從需求面切入分析,而非一味追求高規格或高安全性產品,須知中小企業要的是資訊安全的80/20法則,並非99%的安全。
除了亡羊補牢,中小企業須知…
上一期雜誌有提到中小企業資安品質低落的原因在其資安認知與風險因應概念較為缺乏,事實上要提升資安並不一定需要砸大錢,有時只是一個觀念的轉變。一般來說,轉變觀念最快的方式就是遭遇到無法承受的風險,此時往往已經造成相當大的損失,但中小企業而言,承受損失的能力卻也相對較低。建議中小企業除了忙著業務營運外,仍須切記「他山之石,可以攻錯」,多與資訊廠商或其他企業學習借鏡,藉以提升自我的資安認知與風險因應概念,這是做好資安最重要的一環。以下為給中小企業的幾點建議:
1. 與信賴的資安服務業者隨時保持互動連繫,並避免以價格為採購時絕對之優先條件,須知價格壓低勢必就是犧牲服務,資安業者生存不易自然也會削減其服務能量與品質,甚至銷售後倒閉無法繼續提供服務,造成惡性循環。
2. 建立服務有價之觀念:中小企業常見的觀念就是,要求其資訊服務廠商包山包海,常見資訊服務廠商抱怨中小企業的服務難做,甚麼都要求廠商,資安業者卻無法從其中取回其所投入的服務成本,長期下來導致很多資訊廠商聽到對中小企業服務就先倒退三步,對其服務意願低落。
3. 適度委外:有部分中小企業內部並無專職的資訊人員,若企業連稍懂資訊的員工都缺乏,在與資安廠商溝通與合作上會出現相當大的代溝,須知一般資安廠商並無法特別投入去了解企業之環境與需求,在此情況下中小企業或可思考適當的MIS委外,其除平時可協助處理資訊相關問題外,亦可擔任中小企業與資安廠商良好之互動橋樑。
除了銷售產品,資安服務業者應當…
對替中小企業提供資安服務的資安服務廠商而言,並不能只著重在資訊安全專業技能,中小企業本身資訊相關能力相對缺乏,如何做到服務本位是相當重要的,提供以使用者為導向的服務,才能讓中小企業使用者感到友善,讓整體的服務提升到更好的層次,進而培養互相信賴的關係。以下是為給資安服務廠商的幾點建議:
1. 深入掌握中小企業需求:了解其確實所面臨之資安問題並提供其適切的服務,而非一味推銷自我所經銷或代理的產品,資安的解決方案五花八門,常見許多的中小企業無法真正了解其需要的是甚麼,更無法了解廠商所推薦的產品是否真正適用,導致購買後卻無法發揮效益。因此提供中小企業服務的資安廠商必須深耕其中,並站在同位思考以協助中小企業能真正解決其資安問題,強化資安品質。
2. 增加服務能量:中小企業在台灣超過百萬家之譜,但專業資安服務廠商之家數與服務能量卻不成比例,能量有限的情況下造成眾家業者爭相服務中小企業中相對具規模或編有預算的前段班,預算有限或小規模的中、後段班反而乏人關照,如何增加服務能量以服務更多的中小企業,就成為能否提升中小企業資安整體品質的重大關鍵。
3. 適當教育訓練與顧問諮詢:除了政府單位要求外,資安服務業者由於其專業地位,對於企業來說有一定的專業說服力,資安服務業者除提供銷售產品服務外,更需要的是在中小企業內擔任資安的傳教士,說明其所面臨的資安風險,並在中小企業需要時提供專業顧問諮詢,進而降低中小企業病急亂投醫虛耗資源的機會。
綜上所述,現今在各方都把資訊安全的焦點放在facebook等社交網站以及雲端技術的時候,筆者不得不提醒政府單位以及各位資安的從業人員,雖然目前最熱門的社交網站及雲端技術的資訊安全,因為牽扯到許多的個人資料及隱私,確實是需要加以優先防護,但也有一個族群──中小企業,或許因為其名氣不夠響亮,發生問題時感覺也不如大型企業來的「驚悚」,造成長期在資訊安全的領域中,即便發生資安事件也屢遭忽略,但事實上所造成的企業或個人損失亦相當可觀。
相對於大型企業,目前台灣中小企業總數大約有124萬家,占整體企業家數的97.6%,但中小企業在資訊投資方面,無法像大型企業投入如此多的人力與資金,政府與資安服務業者若任由其遭受損失方思亡羊補牢實非良策。筆者認為,把握20/80的比例原則,就能協助中小企業用相對大企業20%的資源達到80%的安全,將在台灣經濟奇蹟中扮演重要角色且為數眾多的中小企業資安體質大幅強化提升,進而強化台灣的整體競爭力。
本文作者為資訊服務廠商資訊安全規劃經理