「資安即國安」是政府重要政策,台灣在全球又是遭受外部駭客攻擊的重點地區,金管會則階段性要求1367家上市櫃公司,在2023年底前配置資安主管及資安人員,使得資安在台灣不僅成為顯學,更是政府法規的重要一環。
惟業界人士觀察,由於台灣的資安產業尚不健全、人才嚴重不足,加上企業常常未能釐清在這方面的實際需求,使得台灣在資安上,至少面臨政策、企業及人才的三大挑戰。
「政府標案對於服務、軟體價值的認知不足」
蔚藍雲與台灣微軟、今周刊周五(3/10)於台北共同主辦舉行《製造新局 – 數據創價資安共贏2023 CXO數位策略論壇》,鴻海研究院執行長兼資安所所長李維斌在回應今周刊董事長謝金河提問時,提出了對於當前我國推動企業界資安的四大問題:
1. 政策先行有其重要性
李維斌回憶,30多年前在大學唸書時,老師就提過「資安這種東西,(一旦投入)要沉得住,因為(資安)講起來重要、做起來次要、忙起來不要」,到現在好像還是這樣。
「所以,政策還是重要,由政府推動企業扛起這個責任。」
2. 政策與實務的落差
但他也表示,這麼多上市櫃公司需要資安長,「哪來這麼多資安長?」
李維斌說明,資安人才不是唸完書就有,而是要培養的,而現況是沒有足夠人才來滿足業界需求,業界無法支撐政策的要求。
「當你(老闆)覺得有了資安長,感覺變好了,可是現實是狀況可能變差了,因為資安長沒有辦法扛起這樣的責任。」
3. 人才不足與資安產業的關聯
他指出,台灣的資安產業不夠健全,「沒有出來,沒有出來就沒辦法幫大家cover。如果每家企業自己養資安人才會很辛苦、力量也有限,如果要outsource(委外)就要靠產業,但資安廠商大家都做得很辛苦。」
4. 政府標案不利資安產業發展
「企業就是要生存,但政府標案對於服務、軟體這種價值的認知不足。」
「硬體可以用成本評估,可是人花時間去解決問題,(去評估)這種服務跟軟體是有問題的。」
李維斌提到,政府採購法是有做一些鬆綁,但以他之前服務公部門的經驗,整個資安生態系是不健全的。
「所以,政府推動『資安即國安』,一定要建立健全的生態系。」
台灣企業常見問題:沒想好整體雲端策略、沒評估機制
雲端策略諮詢業者蔚藍雲(Electrum Cloud)策略諮詢總監黎嘉龍則從客戶經驗指出,台灣企業常見問題在於,很多公司沒有一開始想好整體的雲端佈署策略,「就是現在做好這件事,明天有別的事情再處理,沒想好整個框架要做什麼,方案是什麼」。
他認為,企業一定要釐清佈署雲端策略的目標為何,才能釐清優先順序,分配不同資源至不同事情。
還有一個問題是,台灣客戶常常沒有執行雲端策略的評估機制(KPI),「所以你做完這件事,好像沒有什麼特別感覺」。
「我們會建議,你要知道你的journey有多長、現在在哪裡、要做什麼、目標或KPI是什麼,才知道事情有沒有做對。」
微軟自家經驗:資安長以委員會制 推動資安工作
台灣微軟大型企業商務事業群總經理李立仁則分享,近幾年與國內許多公司資安長的交流發現,人的問題可以分成組織形式及人才培育兩大塊來探討。
第一,企業內部推動資安,「困難的不在於技術門檻,最大的銜接點在於人跟資料,其中有很多compliance(合規)及data mission,都是跨越企業組織的。」
以微軟本身的經驗,微軟資安長其實是主持一個資安委員會,委員會有各種單位用戶及技術人員參加,會把企業內部大家應該要有的資安認識、合規及ownership等,全都建立起來。
第二,微軟對外提供了許多不同層級的資安人才培訓課程及認證,從access control、networking到hybrid cloud security都有。
李立仁表示,如果企業本身能藉此建立從基層員工至高層主管的資安認知或資安知識,不僅能裨益企業本身,自然也可以嘉惠整個產業。
