現代人的生活越來越離不開網路,企業營運也早已進入「超連結(hyper-connected)」時代,資安的角色也不能再僅只於是因應可能的資安事件,或保護企業免於遭受安全攻擊;更重要的是,透過全面性與智慧型的監控,能提早發現可能的問題、提昇改造企業的商業流程,協助企業進行整體能力的升級。
換言之,資訊安全在企業內部其實具備相當高的策略性角色,除了預防問題發生,還可透過較高資安層級帶來的業務穩定性,提高產品/服務的附加價值。
但資訊安全的投資可大可小,因應不同企業營運模式、產業類型,以及預算規模與潛在風險程度,所謂的「安全成熟度」(Security Maturity Model) 對企業而言,在實務的層次上,有相當程度的不同。
IBM透過將企業處理安全問題時採取的態度為「被動」、「主動」,採取「人工」或「自動化」管理共四個角度,將企業的資安成熟度分為三大層級。
被動且主要以人工處理資安問題的企業,屬「基礎級」;主動但卻採人工管理,或雖有自動化監控管理工具,但態度卻相對被動,則為「熟練級」;至於,既主動又能自動化管理資安問題的企業,則為「優化級」,隨著企業採用更多自動化分析與管理工具、針對更多因子進行分析並主動因應資安事件,則還可更進一步邁向智慧安全的領域。
 |
| ▲資訊安全於企業內應提升為促進營運效率、創新且帶來新價值的部門。 |
企業可透過這個簡單的分析方法,了解自己在安全成熟度的光譜上的位置,進一步在資安政策與採用的工具上,進行調整,提昇本身的資安成熟度,並進而將資安發展與投資相關計畫與企業的策略發展計畫結合,從全視的角度,提昇企業營運能力的同時,也提高資安成熟度,並進而回饋到營運成果上。
最後,在實務層次上,企業還可透過以下指標,了解本身在安全發展上,可努力的投資方向:
1.組織與管理
例如,企業內有無專設的資安長職務?是否有常設的資安/風險委員會?資安是否為企業內部常設並有一定標準的預算項目?能夠核定資安預算的主管層級為何?
2.組織內影響範圍
高層對於資安議題的重視程度有無增加?是否成為內部高階管理會議/董事會的經常性討論議題?是否為企業未來兩年內的重要發展項目?
3.標準
企業內部有無檢視資安成效的量化標準?
最後,企業內部負責資安事務的主管,一定要率先理解並實踐自己的策略性角色,帶動資安價值發酵,讓資安部門除了是處理安全事件、威脅攻擊的部門,更是對企業營運效率、未來創新能夠帶來新價值的部門。
(本文作者現任台灣IBM公司技術長暨軟體事業處副總經理)