資安市場談個資法已經談了兩三年,IT/資安人已經受夠了!最近從SI廠商那裡聽到,已經有企業開始反彈。廠商若繼續以個資法議題作為敲門磚,恐怕需要再多做些準備。
許多以個資法作為包裝的解決方案廠商,如果仍一味只想賣產品,企業可能沒那麼容易買單,多數IT/資安人已經體認不是單靠一種DLP或資料庫稽核解決方案就能「解決」個資法議題。對許多行業來說,個資存在營運流程中,要規劃個資保護方案,需要深入企業營運流程,找出風險弱點,再來才是建議解決方案。然而談到企業不同的domain know-how,在這次「資安服務問卷調查」的訪談中,許多受訪者問道,『現在有幾家廠商有能力站在企業經營的角度,提供與營運流程相關的IT/資安顧問服務?』
另一個來自業者的聲音:資安服務不容易賣
資安服務被當作是買產品的附加項目,這也已經是長久下來業界難以改變的陋習。原因是企業管理階層對於資訊安全,或者說是對於IT風險,始終無法有正確的認知。一旦發生資安事件,mis對長官報告,可能得到的回應是:不是花錢買XXX、OOO設備,怎麼還是出事?向上報告不但沒爭取到資源,反而招來責難。難怪很多單位的資安工作只是做做表面功夫。
於是資安(網管)人員與駭客原本在戰場上應是敵對的兩方,卻有著一樣的心情──不希望事情被發現!
以前還可以做做表面功夫,但個資法一旦正式上路,所有防禦成效都將受到檢驗,到時資安人員如何自保?先建立好內部控制制度,然後把所有文件、程序都留下記錄吧,這是最起碼可以做的。