陳宛綺
為了瞭解國內企業是如何看待資安問題,以及如何部署其資安環境,網路資訊雜誌在去年 9 月第二度進行了「企業資安現況大調查」,希望讓讀者透過其它企業的思維與作法,能更知道該如何規劃符合自己公司的資安環境。
本文目錄
資安投資比例低
根據這次的調查結果顯示,2008 年企業的資安預算佔整體 IT 總預算比例在 20% 以下的企業高達 72%(參考圖 2);而 2009 年企業的資安預算佔 IT 總預算的比例在 20% 以下的企業則為 60%,但是由於這份調查是在 2008 年 9 月所進行的,因此「尚未編列」的比例也高達 16%(參考圖 3)。而從去年底爆發的金融海嘯所引起的經濟不景氣,因此可以預估,2009 年企業在資安預算的投資在 20% 以下的比例將會更高。
資策會 MIC 資深產業分析師王義智表示,「資安預算佔 IT 總預算的 10%,可說是已經到了天花板,這種情況全球皆然。」根據資策會 MIC 針對國內 100 家金融業所做的調查也發現,金融業平均資安投資金額為 582.9 萬,僅佔 IT 總投資的 2.7%;其中有超過一半的金融單位在資安相關投資只花 100 萬以下,更有 22% 金融業者在資安投資上沒有任何花費。由於目前正受到前所未有的金融海嘯影響,預估資安投資比例還會再往下降。
由此數字看來,儘管各種產業遭受惡意攻擊導致嚴重損失與商譽受害,但「對企業來說,資安是要其 IT 化達到一定程度之後,才會考量到做事情。」王義智指出,部署基礎 IT 架構讓企業可以運作,等到有問題發生再來解決,是國內多數企業的想法。
資安人力吃緊
除了資安預算偏低之外,人力不足也是存在於企業普遍的現象。
根據本刊的調查結果顯示,有 62% 的企業,IT 人員的人數在 10 人下,其中 5 人以下的企業更佔了 44%(參考圖 4)。此外,有 PC 數在 51 臺至 100 臺的企業中,有 7 成以上的 IT 人力僅在 5 人以下(參考圖 5)。在 IT 人力如此吃緊的情況下,專職負責資安工作的人力將會更少。
根據 MIC 所做的調查顯示,金融業資安人力平均為 4.6 人,王義智表示,雖然平均數是 4.6 人,但 2 人以下的比例多達 55%;其中更有 12% 的金融業沒有配置任何資安人力。
基礎防護仍是採購主力
不過即使是經濟不景氣,資安預算低與人力吃緊,但資安問題並不會因為經濟不景氣而停止下來,資安防護仍是必要的工作。整體來看,企業在 2008 年投資在與資安相關的預算比例,最高的投資還是在「防毒/防駭」、「電子郵件或網頁安全」、以及「UTM 防火牆」(參考圖 6),仍然偏向基本的資安防護工具。這與本刊調查出企業目前正面臨須立即解決的資安威脅,前三項就是「木馬程式」、「病毒」、「垃圾郵件」的結果是相符合的(參考圖 7)。
……未完(更多內容請參閱網路資訊雜誌 2009 年 1 、 2 月號 206 、 207 期)