今天的主題來自最近追的劇-小夫妻;劇裡的女主角是一位全職媽媽,空閒時發表一些生活日常的文章,有一天他的公眾號突然爆紅,而這個劇情確實是推進我參加這次鐵人賽的一根棒槌;我不是想像自己也可以一夕爆紅,我是想讓自已更積極開闊,劇裡的全職媽媽可以寫家庭日常,我當然也可以寫業務經驗。
標題發想
劇裡小夫妻的兒子媬姆說:大別墅好、小樓房不好;開車好、騎車不好;拿名牌包好、不是名牌的不好....
這段話讓我想起客戶們在評估資安方案時內心的掙扎;大廠牌好還是小廠牌也可以 ? 貴的好還是便宜一點的就行 ?
分類分級
- 統計分析,分類分級是必要的,期能達到更精準的結果;而教學提的因材施教也是這種做法,以期讓學員能吸收並且發揮所學。
- 在資訊安全管理,也將資通系統依機密性/完整性/可用性/法遵性來評估防護等級,訂定防護基準。
- 政府機關也依資通安全責任等級,將機關分為ABCDE級別,再依各等級訂定應辦事項。
- 金管會業依資本額規模、市值、業務性質及營運狀況劃分上市櫃公司為3等級,依等級要求配置資訊安全人力資源及資通安全管控措施。
資安採購依產業依需求不同
- 金融業: 有主管機關千條百條的要求,法規鐵定是逃不掉的,因此在購買產品時有明顯的跟風現象,因為可以確保通過主主管機關的審查,不需做太多解釋,挖空腦袋規避,討論時也容易對焦。
- 政府: 也是有主管機關監督,政府單位比金融單位更服從,一聲令下立即編預算購買,但畢竟政府單位有ABCDE等級,他們購買的產品等級不會像金融業的跟風以及集中。
- 製造業: 這二年對製造業來說真是慌忙,訂單起起落落,駭客攻擊不斷,加上金管會對製造業的資安要求,我感覺製造業對於資安管理和認知才剛起步,但只要依據證交所的要求一步一步做應該是可以打底的;設立資安專責單位、配置資安人員、導入ISO27001管理認證,加入TWCERT資安情資分享與聯防,這一串的要求即會帶出所需的資安設備,我個人覺得製造業對資安產品需求屬性不需要像金融業的刁鑽,可能稍有廣度的會較適合,當然各公司有各自的評估。
駕馭名牌,還是被名牌駕馭
- 廣告總是美美的,因為穿的人都是經過挑選的,但不是每個人穿這些名牌都像Model一樣迷人,有時就是撐不起架子,反而自己被模糊了。
- 買資安產品也是一樣,許多客戶買名牌,但感覺使用出來的效果似乎是B咖或是C咖的等級 ; 有錢很好,但没有發揮產品效益,降低應有的風險也是一大虧損。
如何考量
- 明確需求: 做不到的就是不夠不足,超過所需的功能也可以買來開心。
- 了解產品操控性: 直觀很重要,基本的分析能力很重要,如果大部份的分析都需要專業的人來寫,未來可能會一直花錢請廠商來調整。
- 了解內部人員的屬性: 有些資訊管理人員很愛東測西測,這種人較能發揮探測產品的功能,而有些人不喜歡多想或太忙了没時間多測,再多的功能都没有看到。
- 價格: 我倒覺得這不應放在第一順位做評估,如果預期未來有更多的要求則不應限於預算而選擇不足使用的產品,因為很快便會付出代價重新購買,資安規範已經走得越來越快,要求越來越嚴格。