iT邦幫忙

2023 iThome 鐵人賽

DAY 3
0
Security

【 30 天成為 DAM 達人】系列 第 3

Day 3 前導篇:為什麼需要考慮資料安全?

  • 分享至 

  • xImage
  •  

我們要保護誰?

資訊的發展約末在 20 年代發展,直到21世紀網路的到來開始蓬勃發展,
一開始既有電腦網路、通訊設計,均係沿用至今 50 年左右的科技技術,
例如像是 OSI 七層模型、TCP/IP 協定,以及由此延伸出來各式新舊混雜的資訊環境。

當我們考慮資訊安全或資料安全的時候,
往往都是針對「現有、既有」已經存在的技術系統,
需要思考如何透過新增一些防護措施來提升安全性的強度
在既不影響原有系統架構與運作下,同時做到資安防護的需求。
當然也有資訊安全強調在系統開發與設計初期,
就導入 Security by Design 或是 DevSecOps 的開發框架與流程,
在最前端開始即把安全性需求納入,這樣就能做到「原生」的安全防護,
同時也提供技術架構複雜度的簡化、投資成本低廉,以及易用等幾個特性。

企業考慮的安全角度?

除了擁有開發與設計部門的企業組織之外,
更多的公司行號與提供服務型的組織,其實不太有能力從源頭就加入安全的元素,
所以綜上來看,其實資訊與資料安全其實可以簡單的區分兩個粗略的分類:
「透過外購、外置的技術措施」以及「原生、內置的安全機制」
兩者方向各有其適用以及優劣之處,端看要導入安全的組織的需求性為何。
而無論是前、後哪一者,對於企業而言,
追求資料安全的提升與強化,仍有其背後共通的目的存在。

經濟發展推動的必然

就像以前鏢局押鏢,要雇用剽悍的鏢師的概念一樣,
押送貨物本身的價值、路途的遠距、一路上治安的好與壞,
都影響與決定鏢局要投入多少成本來雇用多專業的鏢師。

同理市場經濟運作,開始發現因為資安帶來的的問題產生的成本與損失,
開始顯著地影響商業運作、經濟效益(商譽、競爭性、金錢、收入、成本)時,
就會開始導入相關的措施來強化整體企業運作的安全性。
所以人性或商業運作的邏輯使然,就讓人開始自動的發展出這條路線。

所以如果歌舞升平、路不拾遺的良好治安,那鏢師可能不用多也不用太專業,
但如果恰恰相反的而是盜賊猖獗,但鏢局這樣外部成本就會顯著的提升

組織性的倡議與協議

當更多的投入到一個產業當中時,就產生所謂的行規、行會,
開始有比較影響力的勢力團體,可以主導或影響一個產業的大方向的走向,
這時候就像古代各省商號一樣,像晉商一般,甚至可以決定生意該怎麼做。

資訊安全也是如此,雖然歷史發展不過 50 年,
但也有這在過程具影響力的組織、協會、公司甚至政府參與在這標準制訂的過程,
像是 ISO/IEC、DoD、IBM 等等,透過協議好的機制,大家一起遵守後、共同維護。

而這 2 年最新成立的半導體協會 (SEMI) 即是最顯著的一例,
由世界具主宰性的台積電發起,建立與要求所屬供應鏈、製造過程需遵守的標準,
當後進者需加入到這樣的生態系運作時,勢必就得先遵守相應規格,
自然就能將相關資訊/資料安全自動拉抬平均水平、進而達到推動與實現安全防護的效果。

產業標準與合規性

不同於組織型倡議與領導的協議架構,
在一些特許經營的產業類別裡,如政府、金融、醫療等產業裡,
因為攸關人類社會運作的基本穩定性,
不能等到賺了錢才來要求,或期待老大哥出來主持正義,
甚至必須有專責的人力、單位,進行長期制度的訂定與維持。

資料安全的領域在各個高監管產業裡,均有其各自需要遵守的法規與標準,
且要求遵守的強制力道遠高於其他行業,
目的只是為了確保整體行業的穩定性在高標準的要求下,
可以維護社會秩序與日常關鍵業務的發展。

小結

當事情需要額外去做的時候,我們往往將之視為成本與困擾,
但當事情初始階段必須得做,我們又將之視為投資與必要性。
資訊安全即是如此,無論從經濟層面、地緣層面或是行業層面,
企業考慮或在意資料安全與否,往往還是跟其商業生意周邊息息相關,
而不是單獨、本身能單獨存在的產物。
透過理解企業的營運特性,才能在各行各業裡提供剛剛好的安全。


上一篇
Day 2 前導篇:資料安全是什麼?聽起來好抽象
下一篇
Day 4 前導篇:發生在資料安全之前的事
系列文
【 30 天成為 DAM 達人】30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言