IoT應被視為企業在各類營運科技上的推動能量,來實現數位化商機。每個IoT的應用都需要一個獨立的資訊安全策略,因為每個流程都會以不用的方式來收集、管理、儲存和使用數據。
物聯網(Internet of Things,IoT)常被形容為第二次的數位革命,是台灣轉化成為智慧經濟的基石。憑藉IoT,企業擁有巨大的潛力能促進新的商業模式、提升生產力和客戶體驗等。然而,人們對IoT仍有很大的誤解,不少台灣企業計畫善用IoT,認為有需要制訂一個IoT策略。
但這是一個錯誤觀念,IoT策略並不存在。
事實上,制訂一個以偏蓋全的IoT策略並不可行,正如不可能編訂全球合用的經濟策略一樣,IoT在不同地區、行業、機構或情況各有不同。沒有人可以在行業內以同樣的方法實行IoT;甚至在同一機構內,也不可能用同樣的方式操作不同的應用程式。儘管IoT在加強業務方面作用顯著,可是,作為一項流程,它並不能單獨運作,必須與不同的軟體、數位或實體基礎建設、工作流程和人力協作運轉。
以汽車製造為例,現今廠商傾向於在以機器人為本的工業生產線、實體供應鏈、煞車及安全設計、建築物管理、身份管理和存取控制、零件庫存、資產追蹤和數據中心的電力和冷卻層面部署IoT,但其運作模式不一。
對企業經營者、資安長、董事成員以及任何參與計畫和部署IoT資安人員來說,認識此點尤其重要。因為每個應用程式、部署過程和管理協議方面都有顯著區別,所以應該因應每個具體用途來制定IoT的資訊安全計畫。
談到資訊安全,IoT應被視為企業整體數位策略當中的核心元素。否則,例如客戶關係管理(CRM)、企業資源計劃(ERP)、供應鏈管理和商業智慧等應用之間的資訊均不能有效流通,令資訊科技架構變得複雜、效率低落、難以管理,並浪費資源。資訊安全絕不容被忽視,IoT應成為業務整體的一部分,而不僅是資訊科技中的一部分。
IoT需要企業在傳統營運方式外尋求獨特的合作關係。企業、資訊科技和安全團隊需要在企業目標和挑戰上妥善配合,並對「成功」有共同清晰的認知,以建立方案。其次,由於很多IoT應用程式有可能由第三方供應商建立和管理,資訊安全團隊應參與所有相關會議和專案管理的更新。第三,資安長及其資訊團隊必須量化風險,衡量潛在商業優勢。最出色的資安人員會根據風險和獲益進行分析、理解,並權衡風險及提出建議。
企業對物聯網的好處不見得看法一致,但IoT應被視為企業在各類營運科技上的推動能量,來實現數位化商機。每個IoT的應用都需要一個獨立的資訊安全策略,因為每個流程都會以不用的方式來收集、管理、儲存和使用數據。正如同對於整體IoT策略的錯誤觀念,要為整體企業制訂全機構合用的IoT資訊安全策略,幾乎是不可行的。
<本文作者:尤惠生現為Palo Alto Networks台灣區總經理>