前些日子與好友聊到資安資源的問題,他認為有規模的企業於資安的投入,已經不是一個大問題了。與幾位資安服務廠商,談到資安落實的問題,大家共同的心聲則是,企業資安都有做,但是未必有效的發揮出落實的狀態。部分企業甚至認為買了設備就是做了資安。
觀察資安環境這麼多年以來,有感於資安難題一直卡在『沒人、沒錢、老闆不重視』。然而歷經長期主管機關的要求、重大資安事件的洗禮,老闆開始比較重視了、資源也比較願意給了,當然資安的挑戰程度也升級了。
現在,網際網路威脅日趨嚴峻,任何一種攻擊,都會造成企業或組織具體又巨額損失。個人非常同意趨勢科技總經理洪偉淦的看法,他認為企業或組織進入數位轉型,資安就是基礎工作,攸關企業存活的關鍵。
時至今日我們的新看法是,肩負資安工作的資安人,必須在專業上更投入、在溝通上更用心。以組織營運的角度分析風險,哪些可暫時承擔、哪些無法承擔,想清楚了再透由溝通爭取必要的資源。
在無法承擔風險的範圍,則需要規劃必要的防禦手段。這裡有兩個挑戰: 一個是該做的工作是否如規定切實逐日執行? 一個是如何恰當的部署防禦設備,且熟悉各設備的運作。這裡所追求的是從『有做』進化到『有效』。
另一個重要的環節,資安服務廠商。我們希望廠商彼此之間,盡可能不要惡意競爭殺價,雖說是天方夜譚,但只要用戶夠專業、夠聰明,是有可能翻轉目前的窘境。因為,面對全球的網路威脅,真的需要專業的廠商來引導用戶,選對防禦範圍、選對技術與設備、善用設備、時時充實網際網路間的攻擊與防禦知識。
進入全新快速變化的威脅環境,成敗關鍵回到資安從業人員身上,無論是企業或組織的資安人員、或是廠商的資安從業人員。球又回到我們自己手上,請挺起胸膛來,我們大家一起加油。