企業面對資訊安全管理的挑戰,與商務營運有許多相似之處,例如無法正確並即時掌握資訊,以致無法依事實做出正確決策,而商業智慧搜集的是企業營運或訂單等相關財務與生產資料,「智慧安全」則是搜集大量日誌檔後,重新分析、架構、重組為單一營運報表,甚至以資安現狀儀表板的方式,呈現即時企業資安現狀。
圖1解釋了企業從基本安全管理,演進到強化式安全管理,並達到最終優化安全管理的路徑與差異。基本安全管理僅針對企業網路邊界(Perimeter)部署安全防護,本質上仍從技術角度看待資安問題,而且是以人工為主要的資安管理途徑,針對資安事件,也僅能在事發後被動反應。
 |
| ▲ 圖1 安全與隱私的演進已由反應式朝主動、智慧式邁進。 |
強化的安全管理不再僅從技術層次看待資安管理問題,而能把不同技術與業務運作面相整合,從業務角度部署不同的資安機制,導入更多的自動化工具,提高因應資安事件的回應速度,甚至在某些情況之下也能夠主動因應。
而「智慧安全」,則是企業真正把資安視為風險管理的一環,同時採用自動化與分析工具來因應風險,進而達到預先警示、直接從源頭避免資安事件發生的主動性,朝向資安、風控與商業智慧三位一體的整合(圖2)。
 |
| ▲圖2 「智慧安全」透過預測性統計分析,轉化傳統仰賴人工、被動因應的舊有管理模式,達到減害、避險、提高運作效率等目標。 |
風險管理是所有高階主管的共同責任
從技術面來看,「智慧安全」似乎只是不同資訊技術領域匯流而生的新型態應用,但若回歸企業風險管理的角度,這是再自然不過的演進。資訊安全與隱私保護一旦提升到IT風險管理的層級,便不只是IT部門的職責。IT系統因為具備了為所有部門服務的特性,一旦發生風險事件,絕對會影響整個企業。
因此,IT風險從評估到訂定流程規範,應是企業從法務長、資訊長、技術長、財務長、稽核長到營運長皆須通力合作,並且由執行長承擔最終責任。
而IT風險管理流程規範的建立,也並非單純IT導向,必須從適法性,例如是否符合業界常規、政府法律規範,以及企業本身的目標方向,作為根本基礎,才能進而依照當前狀況,例如事業體特性、業務流程、資訊流程、人員責任、IT技術、災害備援等面向,決定如何建立合適的風險管理流程與規範。
唯有透過通透、可視(Visible)的整合式管理工具,搭配可預測的智慧管理工具,才能夠真正地協助企業達成智慧安全、智慧管理的目標。
(本文作者現任台灣IBM公司技術長暨軟體事業處副總經理)