中小企業為何總是做不好資安?
Cymetrics 做為中小企業資安的夥伴,以解決中小企業資安問題為目標,經過多次的使用者訪談,歸納出五個中小企業在資安上遇到的主要問題,根據問題被提及的次數排序如下:
TOP 1: 資安預算少
錢,是我們訪談裡面最多中小企業資安人員提到的關鍵字。預算往往是一個團隊或公司決定資安配置的主要考量。很多 MIS 人員,花了很多時間在精打細算,只希望用有限的預算,換來最有效率的配置。然而資安產品真的大多不便宜,這也成為中小企業在保護公司數位資產時的一大阻力。
TOP 2: 資安人力不足
中小企業資安大多是由 MIS 團隊兼任負責,光是處理公司內部軟體系統、硬體架構等問題,就已經手忙腳亂,對於資安只能被動防守,能將防火牆、防毒軟體裝好,下一步就是祈禱不要有事發生。在中小企業中,相關人員對於公司整體資安狀況,就算有很全面的了解,也大多沒有額外的人力可以解決。
TOP 3: 沒有專業資安團隊,資安知識有限
資安是一個博大精深的領域,中小企業往往希望MIS人員包山包海,除了架網路、修電腦,還要點開資安這顆技能樹。然而,在我們的訪談中,常常聽到的是MIS人員必須大量依賴谷歌大神作為資安導師,很多特定問題甚至連谷歌大神都解不了,就只能「先放著」,等待問題被駭客發現的那一天。
TOP 4: 資安好複雜,不知道要從哪裡開始
資安產品百百種,要攻還是要守,要攻到什麼程度?又要守成什麼樣子?對於不是資安專業出身的 MIS ,只能在對公司資安沒有完整了解的情況下,相信系統整合商或是資安廠商說的一切。每間公司的資安問題都不一樣,不對症下藥,什麼都治不到。
TOP 5: 老闆缺乏資安意識
最後,最關鍵的人物,就是老闆。大多數中小企業老闆,知道資安「應該」做,但在被攻擊勒索之前,做的都不夠。我們在使用者訪談中最常聽到 MIS 說的一句話是「我們知道資安很重要,但最後要用什麼還是交給老闆決定。」中小企業的資安,老闆的資安意識相當重要,一但缺少老闆支持,公司資安基本上不會理想。
統整上述問題,預算、人力、能力是三大關鍵。在老闆有資安意識的情況下,我們建議中小企業對於公司數位資產先進行一次資安曝險檢測,盤點公司的資安漏洞,修補後再對症下藥搭配基本的資安防護,才能確實將駭客擋在門外。
資安短板理論:只要桶子有一個低處,水就會流出
資安理論上常引用的短板理論解釋資安防禦的狀況:假設有一個由長度參差不齊的板子拼成的水桶,只要其中一個板子過低,不管其他板子多長,裡面承裝的水都會從最低處流出。想像公司的數位資產就是桶子裡的水,而每一塊板子就是公司每一個資安項目的狀況,比起集中資安火力在幾個資安面向,平均且持續的把關每一項風險的狀態,才能有效保護公司的資產。
為能跟上駭客腳步,現代化的資訊安全策略應該從傳統的「合規導向」,演進成「駭客視角的風險導向」,重點不在於投入高額的預算,而是從持續性的資安檢測開始,早駭客一步改善可能被突破之缺口,化風險為企業競爭優勢。中小企業的最佳資安策略不外乎全面性掌握駭客動向,主動在每個脆弱的環節,加強防禦,才能最有效地把駭客阻擋在門外。
資料來源:數位時代