為什麼要做資安?

老闆：IT部門都是賠錢貨，一天到晚說要買這個買那個的，訂單也沒多接到幾張

其實老闆說的很中肯，除了非營利組織外，大多數的企業營運的目的幾乎都是賺錢。
但對IT人員來說，想到不安全的系統可能哪天會出事，提心吊膽的也不好，每次都是用跪的去求老闆買東西也是很心酸。

我們需要能夠有效說服老闆的方式！

做資安的目的

我們做的所有事情，都是為了幫企業創造和提供價值

看起來很漂亮，啊不過價值是什麼? (用一些看不懂的名詞來解釋本來就看不懂的東西根本沒有意義啊！)

企業價值是由老闆定義的 (重新定義價值)

不過大老闆工作繁忙，一秒鐘幾十萬上下，應該是沒空跟it人員講他心中的價值是什麼，不過可以確定一件事，只要是會賠錢的事，他一定不會做

多做多錯，少做少錯，不做....全錯

引用一下2019資安大會中資安大師Bruce Schneieruw說的 電腦安全的6堂教訓 前兩項

1. 大多數軟體都寫的很不安全
2. 網際網路不是為安全設計的

隨著時代與法規的演進，某些東西以前可能大家不在意，但新的攻擊手法或法規會強迫企業必須要滿足某些目標，不然就是開罰。

例如：人力銀行的價值在求職者個資，這些資料外洩了，不僅法令上公司賠到脫褲，商譽也可能一落千丈，不可能再起，從這種出事會痛的地方當切入點，也比較能讓老闆重視這部分。

做資安要做到什麼程度

想做到 100% 安全? 不可能
這個世界上沒有100%安全，最多只能做到剛剛好安全，不能太鬆 也不能太緊。

做太緊也不好? 沒錯，如果說今天有家企業，為了門禁安全，在每一道門(對，每一道，包含廁所)都安裝指靜脈+瞳孔辨識，還要通過手機簡訊驗證碼，再用實體鑰匙+門鏈才能把門打開，而且開門後10秒內沒關上門鎖好就會發出警報，先不提開關門的繁瑣程度，光是裝這些設備的費用公司大概就撐不住了。

只要做到剛剛好符合企業的控制措施即可，剛剛好又是如何呢? 因此需要針對企業做風險評估，將風險程度降到老闆能接受的程度，就可以了。

今天的部份差不多了，明天接著來說說 風險