企業安全外包現商機

| | | | | | 留下回應

    

Chris Hoff並不想開創新趨勢，但這位資訊長正公然挑戰外包企業安全的一般觀念。

為保障「魏西頓企業聯邦合作社」（Western Corporate Federal Credit Union）的營運安全，Hoff必須考量一長串的安全問題，以及另一個防衛要素 – 測試IT系統的潛在弱點。他聘請一家外部軟體商Qualys負責這項工作。

Hoff說他必須說服幾位WesCorp高層接受他使用外部租賃弱點管理的決定。過去一年來，WesCorp一直使用Qualys的線上應用軟體。

他表示：「我不認為可以公平或謹慎地說：時機已到，應用軟體也有，你可以把所有的安全作業全部外包。但有些地方（租賃應用產品）可以發揮同樣良好的效用。」Hoff說：「當我們考慮不同的進行模式，並且比較維護與管理每個部分的成本，包括升級、功能性和部署的難易度，租賃有非常明顯的優勢。」

如何趕在攻擊發生前修補安全漏洞，是IT部門最棘手且最感無力的任務之一。Research and Markets的調查顯示，500人以上的網路需要超過100個小時的工作，才能完成修補一個安全瑕疵。因此，分析師認為，有能力接手企業網路防衛作業的公司，前景可期 – 尤其是「符合法規」的要件日益受到重視。

病毒威脅是另一項持續性的擔憂。為協助客戶，甲骨文（Oracle）繼微軟之後，也提供每月定期的安全更新。但各式各樣的修補程式卻讓系統管理員頭痛，微軟WindowsXP Service Pack 2的自動安裝即是一例。

這些問題對Qualys和對手AlertSite而言，代表龐大的商機。IDC分析師Charles Kolodgy認為，顧客，特別是中小企業，將日益仰賴租賃安全應用有幾項原因。他說：「安全弱點管理的生意特別大，輕鬆安裝更新的能力，以及讓別人管理所省下的時間和成本是一大關鍵。在服從（法規）與隱私權漸受重視的情況下，有不少公司希望改善這類能力。」

習慣上，大多數公司都使用賽門鐵克（Symantec）和McAfee這類安全軟體商的套裝軟體，或自行開發安全防護系統。

本身為Qualys提供免費諮詢的Hoff對線上安全租賃的評價相當高，這位資訊長說該公司的掃瞄工具錯誤率低，其應用軟體也能與WestCorp的其他系統輕易整合。整體而言，Hoff表示他過去對租賃安全所持的任何保留，都在使用一段時間後漸漸消除 – 產業專家說，其他公司也有同感。

科技研究員Sara Radicati所訪問的企業主管中，有近半數表示他們可能考慮這類線上應用產品。Radicati說，這代表大家對這類產品的成見有顯著的改變。

Radicati指出：「關於租賃安全我們得到各種回應。看似多變，但還是有許多負面的觀感。半數接受我們訪問的公司表示，他們絕不考慮這麼做，有些則非常熱切，完全不在乎解決方案是由外人代管。但已經有更多公司願意隨時考慮這種選擇。」

有些企業資訊長曾表示，他們擔心將大量重要的公司資料交給外部供應商，可能導致資料被竊、被攔截、受損或遺失。LexisNexis等公司近來爆發的資料侵害案，雖然是不同種類的資訊外洩，卻也凸顯了這類風險。

Radicati說，企業高層慢慢接受租賃安全的另一個原因，是其他線上應用產品的成功，如顧客關係管理供應商Salesforce.com。

IDC的Kolodgy認為，政府嚴格要求企業遵守相關法規，如美國的沙氏法案（Sarbanes-Oxley Act），也可能有助租賃安全市場的崛起。Qualys最近推出一套協助企業符合這類法規要求的服務，AlertSite也提供配合法規的租賃工具。

Qualys董事長Philippe Courtot表示，這類守法的需求簡直是為該公司的服務量身定作，因為法規促使中小型企業，在有限的預算和IT人力之下，仍須部署相對複雜的安全系統。

Courtot說：「這個時機的好處在於，這些小公司可擁有等同於大企業的安全防護，因為我們保護他們的營運所投入的每一分心力，絕不遜於大企業的IT部門。這就和Salesforce.com搶走Siebel的顧客一樣，因為他們更快、更省錢，那也是我們藉租賃安全所提供的利益。」

Courtot承認，有些公司永遠會認為租賃安全風險過高，但他相信長時間下來，若Qualys和同業對手順利成長，反對安全外包的聲音將逐漸降低。

Hoff說WestCorp的IT部門相當具有前瞻性，因此他沒有太費力說服大家接受租賃模式。但Hoff說他瞭解其他公司對這類工具依然抱持謹慎態度的原因，而雖然WestCorp可能考慮其他外包的安全應用，如公司防火強維護等作業，他仍不打算放手。

他表示：「將安全基礎設施的管理完全外包 – 我們從未嘗試過，也不打算這麼做。但就（測試安全弱點）而言，這種作法符合商業利益，迅速發現問題對我們也有非常大的優勢。至於其他安全服務，我們還要再觀察。」（陳智文）