IBM 資安

從事件回應到發揮影響力讓資安為企業創造價值

2012-08-31
現代人的生活越來越離不開網路,企業營運也早已進入「超連結(hyper-connected)」時代,資安的角色也不能再僅只於是因應可能的資安事件,或保護企業免於遭受安全攻擊;更重要的是,透過全面性與智慧型的監控,能提早發現可能的問題、提昇改造企業的商業流程,協助企業進行整體能力的升級。
換言之,資訊安全在企業內部其實具備相當高的策略性角色,除了預防問題發生,還可透過較高資安層級帶來的業務穩定性,提高產品/服務的附加價值。

但資訊安全的投資可大可小,因應不同企業營運模式、產業類型,以及預算規模與潛在風險程度,所謂的「安全成熟度」(Security Maturity Model) 對企業而言,在實務的層次上,有相當程度的不同。

IBM透過將企業處理安全問題時採取的態度為「被動」、「主動」,採取「人工」或「自動化」管理共四個角度,將企業的資安成熟度分為三大層級。

被動且主要以人工處理資安問題的企業,屬「基礎級」;主動但卻採人工管理,或雖有自動化監控管理工具,但態度卻相對被動,則為「熟練級」;至於,既主動又能自動化管理資安問題的企業,則為「優化級」,隨著企業採用更多自動化分析與管理工具、針對更多因子進行分析並主動因應資安事件,則還可更進一步邁向智慧安全的領域。


▲資訊安全於企業內應提升為促進營運效率、創新且帶來新價值的部門。

企業可透過這個簡單的分析方法,了解自己在安全成熟度的光譜上的位置,進一步在資安政策與採用的工具上,進行調整,提昇本身的資安成熟度,並進而將資安發展與投資相關計畫與企業的策略發展計畫結合,從全視的角度,提昇企業營運能力的同時,也提高資安成熟度,並進而回饋到營運成果上。

最後,在實務層次上,企業還可透過以下指標,了解本身在安全發展上,可努力的投資方向:

1.組織與管理
例如,企業內有無專設的資安長職務?是否有常設的資安/風險委員會?資安是否為企業內部常設並有一定標準的預算項目?能夠核定資安預算的主管層級為何?

2.組織內影響範圍
高層對於資安議題的重視程度有無增加?是否成為內部高階管理會議/董事會的經常性討論議題?是否為企業未來兩年內的重要發展項目?

3.標準
企業內部有無檢視資安成效的量化標準? 最後,企業內部負責資安事務的主管,一定要率先理解並實踐自己的策略性角色,帶動資安價值發酵,讓資安部門除了是處理安全事件、威脅攻擊的部門,更是對企業營運效率、未來創新能夠帶來新價值的部門。

(本文作者現任台灣IBM公司技術長暨軟體事業處副總經理)



追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!