友人問到,為何企業需要花錢去購買防毒軟體。
因為他無法說服主管進行採購。
主管認為:
- MIS的本職就是管理電腦、教育使用者,而不是只會花錢買工具讓MIS空閒。
- 公司裡,多數為電腦技能不錯的工程師,沒必要花錢去買軟體。
- 網路上有許多免費的防毒軟件,不需要另外花錢購買。
我的答覆是:重點應該放在管理電腦的效益/成本比上。
一間5~10人的小公司,會不會使用人資管理系統,可能不會;可是一間300~500人以上的公司,會不會使用人資系統呢?答案是肯定的。
為什麼?因為以人管理的方式耗費時間(成本/效益比),容易出錯(風險機率)
最重要的是以人管理電腦及人的成本太高。
試想一想,公司花錢請一個 MIS,一年要花多少時間教育使用者?有多少使用者要花相同的時間去上課學習?而且花了這樣的成本,成效如何?
一個MIS能夠以純人力管理,不使用任何工具軟體管理100台電腦,算是很強了。
但是公司養一個MIS,一年起碼得花個四~五十萬以上!
相反的,公司花錢購買企業級防毒軟體,要花多少錢?它的成效如何?
我們不說企業級防毒軟體比較強,或是免費防毒軟體的防禦率較弱,因為重點在於管理,而且各家引用的數據沒有太大意義。
使用防毒軟體/教育使用者的目的,都在於降低中毒的風險、降低中毒後,救援所需的時間。而使用防毒軟體發生錯誤的機率確實比人為操作要低。
撇開免費防毒軟件的授權是否可以用於商業環境中,就當作可以完全免費使用。但是,它是沒有集中管理的功能,也就是說MIS必須個別管理,花費的時間也不少。
最後,當然是要建議一下朋友,去讀讀ISO 27001資安風險管理;
先做出風險高低分析,再來將管理成本量化,讓主管能夠確切知道,花多少錢,能夠降低多少風險(有多少成效)。
PS.針對防毒一項威脅,有很多作為可以彌補弱點。
例如:定期檢查安裝Security Patch、降低使用者權限、防火牆過濾下載可執行程式、安裝防毒軟件、教育使用者電腦操作習慣與知識、資安政策的導入等。
MIS不能只依賴防毒軟體,這些作為應該都必須實施導入,才不會被主管質疑只會花錢不會做事。
PS.對於中毒之後的處理,如果是狀況輕微的,通常我都以手動處理,因為電腦檔案越來越多,光是掃瞄檢查病毒,可能就要數小時之久。
如果中毒嚴重的,我通常就直接將使用者資料搬移到備用電腦上,中毒的電腦就重新安裝佈署了。花太多時間去處理病毒,就是浪費成本,所以平日的資料備份很重要,不然遇到加密綁架病毒,就只能認命了!(個人不傾向付贖金)
總之,怎麼做最節省時間,就最省成本。
發表文章
0 意見:
張貼留言