搜尋此網誌

2008年12月15日 星期一

從楊遠致看資訊安全產品選擇

英國的一個科技網站 vnunet.com 於日前選出了10大表現最糟的CEO,其中任職以來飽受攻擊的楊致遠打敗前HP美麗女CEO,獲得了冠軍。楊致遠在面對微軟的收購案時,表現得令所有人感到失望(包含一般投資者與大股東)。唯一不感到失望的,大概就是當時的楊致遠以及現在的微軟CEO-Steve Ballmer了。甚至我猜Steve Ballmer應該曾經連續好幾天因為竊喜而睡不著覺才是。這件事跟資訊安全有甚麼關係,嚴格來說是沒有的,但是既然我寫了,當然就是要想辦法扯上關係。

我們在評估資訊安全解決方案(或廣義的產品,包含軟硬體、服務與管理措施)時,通常講究的是Cost Effective,就是成本與效益的比例。如果可以量化加以比較,當然通常是越高越好。這個有點像是我們在買電子產品時所謂的C/P,也就是價格功能比。除了所謂的Cost Effective原則,其實我們還有兩個更重要的限制(Constraints)需要加以考量,一個是理論上最重要的限制,也就是最低的功能需求。另外一個則是實務上最重要的限制,那就是價格。因為企業的資源有限,所以無法用無上限的預算去佈署一個解決方案。相較於價格的限制,最低功能需求的限制往往很難有效加以實現。主要的原因在於很多功能達成與否,是很難用量化的數字去比較。就算有了量化的數字,評斷方法的公平性、廠商數據的可靠性、乃至於數字的適用性都有相當的討論空間。以大家最常用數字加以評斷的防毒軟體攔阻率來說,即使有了Third party的獨立實驗室加以測試,但是依舊有不少廠商沒有加入,甚至有廠商質疑測試方法的公平性(因為每家產品各有所長)以及病毒攔阻率已經不能代表這類軟體的可用性(因為除了病毒還有更多其他種類的惡意程式)。把複雜的情況加以簡化來說,就是同時在滿足最低功能與最高價格兩個限制下(至少兩個,也有可能還有其他你專屬的限制,如廠商的名聲),擁有最佳Cost Effective的解決方案就是首選。

而楊致遠的狀況,當然不像採買防毒軟體這樣"單一功能性"的產品這麼單純。以一個CEO來說,他要負責的事情是很全面的,也就是同時需要具備不同的功能(能力)。同樣的,因為沒有人面面俱到,所以各項功能間孰重孰輕,就影響到了如何找出"一個"對整體而言最佳的解決方案。當然,我們也可以把不同的功能交由不同的解決方案加以負責,但是這雖然減低了比較不同產品適用性的複雜度,卻也增加了日後管理的複雜度與有效性。就像把一個集團分成不同的公司,可以讓每個公司負責較小且專注的業務範圍,但是不同公司之間可能就會有資源重複或無法截長補短的缺憾。而且,也不可能細分到每個公司的所有人都只有單一業務。所以,一個具備多功能的解決方案無法避免,甚至有時候廠商會端出你根本用不到功能干擾你的評估結果。另外像是一些歷史包袱,也都會影響評估的過程與結果。就像你曾經跟A公司購買防毒軟體,而A公司表現得相當專業,所以你就繼續跟A公司購買防火牆。問題是防毒軟體跟防火牆是兩回事。也有可能多年後你從原先10人的小公司,轉換到10000人的大公司,你依舊決定透過A公司採買防毒軟體。同樣的,支援10人的公司所需要的能力跟支援10000人的公司也是不一樣。如果這些考量沒有釐清,就像找了能夠做出最成功的入口網站之一的楊致遠來管理一家全球性的網路公司一樣。楊致遠不是最糟,而是最不適任,真正最糟的是找他當CEO的那群人。

沒有留言:

張貼留言

About