企業主必知的IT管理四面向（三）：資安技術人力篇

資訊管理是「人」的問題還是「技術」的問題

資訊使用者是人，管理者也是人，會有專業能力的侷限，以及時間產能上限。一般企業會聘請MIS處理資訊問題，甚至負責企業的資訊管理，MIS每天忙於應付使用者的表面資訊問題如電腦故障、收發信問題、軟體安裝和除錯便已經應付不暇，當遇到特殊專案建置或維運（如雲端服務導入、郵件搬遷、資訊安全防護），MIS很可能沒有相關技術和經驗執行，也沒有時間精進新技術領域，更不宜冒險付出龐大的試錯成本。

隨著雲端技術開啟企業數位轉型的第一道大門，上位者必須及早意識到並考慮到的是，資訊科技技術的變革與汰換速率是類指數性成長，必定將朝技術專業化發展——雲端有雲端的專業，資安有資安的水深——然後再發展成生態圈合作網絡。

資訊安全大概就是最具代表性的例子。COVID-19以來數位化和資安需求受到企業前所未有的重視，也有企業點出，台灣資安人才短缺、培訓資源不足，造成這塊新興人力市場供不應求，或是找不到讓企業滿意的技術人才。 

資訊安全人才荒？專業領域難定義

根據Fortinet《資安能力落差對網路資安的廣泛影響》報告指出，有68%受訪企業在招募資安人才遇到瓶頸，且在疫情肆虐這一年中，有73%的企業至少受到一次駭客入侵，原因來自IT技術人員對網路資安知識或能力的不足。

行政院資通安全處處長簡宏偉曾受訪指出，資安人才培育是「雞生蛋、蛋生雞」的問題，市場的確存在，關鍵是讓資安人才結合領域專才，以產業現實環境來看，80％是跨領域的資安人才，只有20％是真正資安領域的專業人才。

• 資安的涉獵面向廣泛，從基礎建設維運到駭客攻防都相關聯 
• 資安技術的更迭快速，需要投資大量時間學習、管理、應用 
• 除技術外，更要長期培養使用者意識、強化組織風險管理與危機處理 

舉例來說，是讓醫療體系的人學習資安比較容易，還是讓資安領域的人懂醫療比較容易？自由系統服務過的資安維運客戶橫跨產業如：金融、醫療、製造、高科技等，其中當然不乏專業的資訊與資安人員，之所以還需要資安服務委外的原因在於，內聘資訊/資安人員—也就是上述跨領域的資安人才—往往較為熟悉產業領域知識（Domain Know-how）或是應用情境（Scenario），委外的資安服務商（MSSP）可能初期需要訪談企業才能了解需求痛點，但他們是最能掌握全面、全新資安專業的專家，可以補足內聘人員平時無暇更新的專業技術、缺乏的跨產品應用經驗，並提供跨領域解決方案，彼此搭配成為資安全才團隊。 

►資訊管理大補帖👉 訂閱自由系統電子報，領取企業主必知的資訊管理大補帖

效益不見得「看的見」，但風險期望值「有感覺」 

行政院資通安全處處長簡宏偉提到：「現在多數人仍將資安視為企業的成本，重點在於，要讓大家意識到資安的重要性，資安其實是企業的投資而不只是成本。」

自由系統總經理俞伯翰也分享，資安投資就是在計算風險期望值，企業主不妨帶入公式簡單計算：假設資產總價值1,000萬，遭攻擊的機率有2%，那20萬以內的投資都算是合理的。最怕「平時以為沒問題才是有問題」，災難發生後才知道「痛」，有形和無形的救災成本和商譽損失足以讓中小企業覆滅。

價值Value x 機率Possibility = 期望Expectation

當雲端成為企業標配，很多數位資產都走向虛擬化、訂閱制，讓許多思維較傳統的企業主投資卻步，因為花大錢後的效益肉眼「看不見」。「很多維運服務客戶反映，為什麼平時都沒什麼問題發生、好像我們收錢沒做事？」俞伯翰總經理分享，「我告訴客戶，難道要等發生資安事件，我們才趕去救災？IT就是要把潛在風險降到最低，不要老是等出問題才擦屁股。」

給企業的強心劑：正確觀念，聰明投資 

資訊安全的管理和維運是一整個動態循環的過程，不可能一勞永逸。

•  前期預防重於治療，需要投注資源和工具，確保整體環境的可視性與可控性，降低事故發生的潛在風險。
•  中期當事件發生，需要即時探索並評估各端點上與軟體漏洞，進行集中化動態調整，並追蹤攻擊發動的源頭與路徑，進行即時的阻斷跟告警。
•  攻擊後期須將路徑紀錄進行比對分析，有效地針對弱點進行補強及處理，避免相同的弱點一再被針對。

在「前、中、後」三階段的循環中，只有IT及資安人員的努力遠遠不夠，需要搭配智慧化工具的輔助分析、自動化工具的即時阻擋，甚至是AI機器學習將攻擊數據轉化為情資，搭配 IT及資安人員的經驗判斷、資料解讀與技術維運，才是一個完善的團隊。更重要的是，只有當老闆由上而下（Top-down）的建立重視資訊安全的企業文化，從人本角度出發，制定安全與便利平衡的管理方針，並且將資源放在對的地方，才能帶動組織邁向數位安全新紀元。

►資訊管理大補帖👉 訂閱自由系統電子報，領取企業主必知的資訊管理大補帖
►客戶成功案例👉 瑞昱半導體透過數位升級建立營建與資安韌性