在前導文章系列，我們用不同角度來分享與介紹資料安全的必要性，
從它是什麼、什麼原因需要考慮資料安全、在安全之前發生的事等等，
讓我們可以知道它的前世今生，當我們再往後了解各個技術控制項目時，
也就能夠知其所以然，明白相關它存在的價值與發揮的場域為何。

資料運用的特性

在企業發展各樣資料分析、探勘與應用的同時，
也開始希望能將各式的資料做集中化管理與梳理，
於是產生像是資料湖、資料倉儲跟資料網格的資料儲存機制，
藉此在這其中進行資料洗滌、套用機器學習的相關應用，最終產生價值分析。

而前一篇資料生命週期談到的概念，即是將資料從出現到消失的過程，
做高層次的概念化梳理，亦即當落到技術實現層級的時候，
也就產生資料的建立、使用、儲存與最後消除的實際資料生命週期管理。

而在這過程中資訊安全扮演的角色，也就會有相應環節需要探討：

• 系統漏洞評估
• 資料發現與分類
• 資料保護
• 監控和分析
• 攻擊預防
• 存取管理
• 審計與合規
• 性能和可擴展性
  ...

資料安全的特性

誠如系列主題開篇提及的，
資料安全係保護價值性的資料不受非授權或意外性的修改的保護措施，
而在過程也就牽涉方方面面需要考慮的技術思維，
包含在身份存取、權限控管、資料敏感性、去識別化、資料活動稽核、風險評估...
每個資料安全的技術機制，都是為了在每個資料環節提供安全性的確保。

從商業邏輯上來看待資料應用與安全兩者之間平衡的關係，
應用與安全之間就像翹翹板的平衡概念，
當平衡偏向任一方之時，都可能造成應用面與安全面的受損，
而「投資報酬率」有時就是最常被使用來衡量兩者之間的關鍵數值。

資訊安全：成本v.s.投資

目前探討最多關於資訊安全投資的投報率議題，
多是圍繞在成本 v.s. 投資的核心命題打轉，
要投注多少安全措施在應用系統環境，
有時係為了法規合規性進行符規增設、看起來是商業成本的一環，
有時係為了預防營運中斷設計的警報系統，看起來是為了可用性的投資。

這個概念對 IT 基礎設施提供運算與儲存的角色似乎很好理解，
包含資料中心、公有雲的商業邏輯核心，也是基於算力、頻寬與量體的買賣，
而在資料安全的相關措施的推動，卻無法很好的理解為「安全的買賣」。

因此在資料安全的價值衡量仍持續的摸索，目前常見的價值衡量包含：

資料外洩成本的經濟因素

以過去一定期間產生資料外洩的公司實際損失來對比，
透過 before / after 有投入資料安全的企業，
在因應與抵抗資料威脅的時候的表現如何，以及
像是因為資安事件產生直接與間接的經濟損失為何，
藉此鼓勵用「保險」的概念來降低意外帶來的損害以及保障。

透過資本或營用支出的經濟衡量

資本支出 (Capex) 與營運支出 (OPEX)的概念，
落到資訊安全領域的服務與軟體採購，基本上可區分為：
「永久制 (Perpetual) v.s. 訂閱制 (Subscription)，」
在企業端的認列上，前者即屬於資本支出、後者為營運支出，
而兩者各有其適用的場景與時機點。

在永久制的授權模式下，總體擁有成本 (TCO) 可以隨時間攤提折舊而讓整體成本下降，
當使用時間越久，理論上企業整體擁有成本會逐年下降到每年維護的成本結構。
但同時帶來的挑戰即是初次購買成本高、更動解決方案的固定成本也比較高，
再者是否持續購買產品的授權，也是另一種永久制「不鼓勵」的現實情況。

在訂閱制的授權模式下，每年基本上即是 100% 的成本進行「續約」，
整體擁有成本不太會因為年數拉長而折舊攤提、初次採購成本低但 TCO 逐年上升，
帶來的好處就是將費用置入在企業營運的必要費用，
當企業成長就隨之提升，反之則隨時調降，提供很彈性運用的機制，
同時也會享有最新功能的配置，對企業客戶考量使用量即可。

不同類型的支出，也就適用在不同企業盈利的模式與規模來選擇。

小結

推動資訊/資料安全的因素有很多，有預防性的、有經濟性的，也有強制合規性的，
無論選擇的是何者因素，核心的目的都是希望能提升更有保障的服務與安全，
當我們信賴一個品牌與服務是安全可靠地，我們也就願意付出更多資源在這其中，
慢慢地、整體也就形成更好的雙向互利的正向循環。