隨著資訊化的腳步改變,企業對於內部資訊架構的看法也逐漸由成本中心轉成利潤中心,資訊部門不單只是提供服務,同時也應該藉由這些服務讓其他部門得以增加獲利率。但是在如此的轉變過程中,不但決策者的心態需要調整,資訊基礎架構需要改變,同時如何營運及管理的目標也需要大幅修正。日前Symantec資訊長David Thompson於來台參加Manage Fusion研討會時,特別抽空向讀者暢談如何強化企業內部資訊管理與保護,讓企業營運得以更上層樓。
早期企業的資訊量較少,同時大多都為實體的紙本資料,企業內部對於資訊管理部分的認知大多為歸檔整理,而與其相關的內容,則都為相關負責人員轉化吸收之後,成為個人經驗,因此對於企業而言,掌握資深且有經驗的人才,成為最重要的資產。
但現在企業資訊的質與量都呈現爆炸性的成長,以中大型企業來說,每年資訊量都以50%的成長率增加,企業不但營運過程中產生相當多資訊,同時也仰賴這些資訊維持並擴展營運,這些需求同時也促使企業正視資訊基礎架構、應用系統、儲存設備及資安保護等議題。
而資訊產生與再利用的管道也日益增加,面對龐大的資訊與管理上的挑戰,有許多新興科技也因應而生,其中目前最為熱門的當屬SaaS(Software as a Service)及全方位的資安保護。
雖然企業界都對這些議題展現相當大的興趣,但我們也可以看到能夠完全成功導入的企業依然屈指可數,而其中主因其實是與提供相關解決方案的廠商有關,雖然他們在單一方面上有良好的技術與成效,但因掌控全方位管理能力略嫌不足,因此總有顧此失彼之憾。
事實上,就企業目前所真正需要關注的目標來說,應該是在不同流程中傳遞的資訊,這些資訊才是企業賴以維生的本源,因此企業應當要有一套完備且嚴謹的管理機制,藉此提高資訊掌握度,才能即時做出正確的回應。
強化端點資安管理
從最近的各種資安攻擊方式中可以清楚發現,駭客不再強調「攻擊」,而是進一步強化其「竊取」的能力。網路上流竄的木馬或蠕蟲,四處林立的釣魚網站,都是為了竊取各項資訊而生,其目標從企業內部的各項重要文件,到個人擁有的敏感資訊等,一旦洩漏都會造成不小的影響。因此企業必須拋棄過去單純強化網路閘道端點的安全防禦架構,而以全新端點防禦機制建構新的安全堡壘。
由於駭客已經拋棄正面攻擊企業網站與閘道端點的作法,轉而由個人電腦或行動裝置迂迴入侵,因此讓企業產生新的漏洞。這項漏洞並非單純安裝防毒軟體或個人防火牆就能夠徹底防護,而是需要建構出一套完整的安全防護體系,不但強化個人端的各項防護能力,同時需要提供企業端得以集中管理的系統,進一步組合成完整的防禦網路,而這正是Symantec Protection Network的核心精神。
分類資訊以確實管理
除了良好的資安防護技術之外,另外我們也需要認清,需要管理的目標並非一台台的硬體設備或軟體系統,而是其中傳遞的所有資料。雖然說資料很重要,但是也並非每一筆資料都需要強化保護。
資訊有其重要性與敏感度,甚至不同的組合也會引發不同的加乘效應。簡單舉例而言,人名與地址分開來看時,各自都不是重要資料,但是當兩者組合於一起,就成為可供利用的訊息。因此在資訊管理體系中,不單只是針對單筆資訊評估其重要性,還需要分析不同資料組合是否會造成不同影響。
企業不該只是為了保護而保護,應該要從風險管理的角度去探討,怎樣樣做才能在投資與風險間取得平衡,利用資訊風險管理取向(Information Risk-based Approach)管理並保護最重要的資料,才是徹底根絕資訊外洩問題發生的良方。如同之前談到的,資訊外洩本身並不見得會對企業造成影響,但是我們必須審慎評估所有可能外洩事件對企業的傷害比例有多少。企業沒有辦法全面防堵所有資訊外洩管道,或保護所有資訊,那樣的成本太高了。相反的,應該要將主要的心力放在核心資料上,保護最關鍵的那份核心,自然就能夠減少相關的風險。
提高明視度 讓設備消失
當我們提高管理層級與深入程度時,其實最立即的影響就是我們更能夠掌握企業內部相關設備的各項狀態。IT設備是企業重要的資產,所有敏感資料都是在這些設備中傳遞、利用與儲存,如何有效掌握這些設備的使用率及狀態,是企業重要的目標。
透過良好的IT生命週期系統,企業就能夠有效掌握各項設備的利用率及相關資訊。其實當我們分析企業內部所發生的問題時,有95%的問題,其實透過一定的管理程序都可以有效解決,剩下5%的問題,才需要特別導入新技術或設備。因此,只要企業能夠有效監控現有的各項IT設備,就可以增加企業對於資產與資訊的掌握度,並進一步提高資訊系統的管理能力。
提高資訊系統的管理能力,相對來說就是讓資訊系統變得透明化,無論是對資訊管理人員或是其他部門來說,都可以更瞭解資訊系統對於企業營運的影響,讓所有營運活動能夠得到有效的資訊支援,強化業務與技術的整合,並提高資訊部門的績效。
當企業可以增加對資訊系統的明視度時,管理人員就可以更有效地調整各項應用服務並將其最佳化,讓利用這些設備提供的資訊服務更穩定更確實,進而讓設備「消失」,讓員工能夠更專注於應用服務上,減少設備維護的困擾。
企業IT的管理複雜性,就像是冰山一角,我們所能看到的都只是露出海平面的那一小塊,事實上底下有更多的問題潛藏著,如何協助企業提高管理能力,讓冰山得以融化,才是相關資訊廠商的努力方向。
 |
關於作者 |
David Thompson目前為賽門鐵克全球資訊科技與服務事業群總裁,帶領一個結合服務、技術支援以及IT的組織,專注於充分開發賽門鐵克提供給內外部IT服務的資源。
在加入賽門鐵克之前,Thompson曾任Oracle的資深副總裁兼資訊長,監督全球資訊科技團隊。在PeopleSoft與Oracle合併之前,Thompson先生曾擔任PeopleSoft的資訊長達七年之久,他帶領公司採用自建的Internet應用程式,減少成本並且改善效率。
在任職期間,他也帶領PeopleSoft走過Vantive及JD Edwards的M&A整合。透過IT程序最佳化及線上商業流程啟用,他優異的領導為公司省下超過1億美元。 |