「如何讓老闆明白資安工作的價值?」是許多資安人員共同的心聲。資安工作就像保險一樣,如果公司沒有發生資安事件,老闆不但不會鼓勵,甚至有可能誤以為「天下本太平、何須做資安」,而這還不是最糟的狀況,最糟的狀況是資安人員明明己經認真做事了,卻還是發生病毒入侵、駭客攻擊等事件,老闆第一個念頭就是資安人員做得不夠好,才會發生資安事件。
究竟,這些默默做事的資安人,該如何讓老闆瞭解自身的價值?孫雅麗認為,資安人員可以試著以錢為度量單位,將資安防護的成效與企業利潤連結在一起。
舉例來說,有些資安設備會提供偵測報告,資安人可以將偵測報告轉成公司價值,例如:掃了多少個網頁、偵測到多少次攻擊事件、清除多少支藏在系統或PC內的病毒等等;如果這些攻擊、弱點、病毒沒有事先被預防,則對公司的營運、運作會帶來多少的損失,這樣就可以讓老闆瞭解資安的重要性與貢獻。
以臺大為例,如果某一台閘道器或路由器受到攻擊,導致2萬多名學生無法使用網路服務,可能造成的損失有多大,資安人要懂得計算並且明確地告訴老闆,包括每年擋掉資安事件的數量,及為組織避免的損失金額,如此才能讓老闆明白資安價值所在,也才能獲得更多的掌聲與肯定。