不管你在工作上是不是從事資安相關的領域,或多或少都曾經面對要在許多不同解決方案中找出最佳作法的情況。如果是採用預算制,比較一般性的做法就是找出預算之內而且效果最好的解決方案。另外一個方法就是找出可以接受的最低成效,然後在此限制下找出最低成本的解決方案。後者通常適用於沒有固定的預算,或是對於成效有一定要求的情況。
嚴格說來,不管是哪一種方式,其實都是在成本與效果之間求取一個最佳解法,只是受到限制的條件不一樣。但是限制條件通常並不是如表面那麼單純且直接。例如以預算制的情況來說,雖然只要在預算內即可,但是有時候省下更多的錢也是功勞一件 (當然也有實際花費跟預算越接近越好的狀況)。而且即使對於省錢與否並不在乎,至少對於解決方案還是會有基本的要求。因此如果已經把預算用完還是無法達到基本的要求,同樣會出大問題。所以,比較明確的說法應該是受到限制的條件比重不一樣,但是基本上要考量的項目卻都是相同的。有關成本與效果的平衡,在資安的領域比較常用 Cost-Effective 這個名詞。接下來我想談談有關成本這個議題。
評估成本的方法有很多,TCO (Total Cost of Ownership) 是一種常見的評估方式,而 TCO 主要包含取得成本 (Total Cost of Acquisition) 與維運成本 (Operation Costs) 兩大部分。當然,儘管是所謂的 TCO,但是真的能夠把所有的顯性與隱性成本都找出來嗎?答案可能沒有那麼樂觀。也因此光是使用 Windows 還是 Linux 擁有較低的 TCO 這個議題就可以讓兩方人馬爭吵多年依舊沒有結論。不論如何,基本上TCO 在考量各個項目的成本時,會考量到相關人員的成本。例如當考量一個系統的維運成本時,我們會將所需分配的系統管理員人力成本納入計算。但是,一個系統所影響的並不是只有系統管理員。一個比較重要的系統,或許跟整個組織的所有人員都有關聯,甚至連組織外部的人員也會有所關聯。一旦有關聯後,對於這些人所產生的成本”理論上”就應該加以考量。不過理論終究是理論,很少評估方式會考慮到這樣的成本。主要理由有二,第一個是這樣的評估方式會讓待評估的項目變得又多又複雜,進而增加評估所產生的成本。另外一個更重要的理由,這些成本根本不是”我”的成本,所以不關我的事情。
舉例來說,如果 IT 部門要改良一個原有的系統,A方案可以不影響使用者目前的工作量,而且也不必增加原有的維護人力需求。B方式可以節省 50% 的維護人力 ,但是卻會增加組織內每個使用者 1% 的工作量。在其他成本皆相同的情形下,IT 部門會選擇哪個方案?通常應該是B…因為省下來的錢是 IT 部門的預算,而多出來的工作量跟 IT 部門沒有直接的關係。以這個例子而言,增加 1% 的工作量對於大多的使用者來說並不會造成太大的困擾,因此可能不會造成太大的反彈。但是如果因此增加了 10% 的工作量,那麼在推廣上就需要一些手段。當然,在組織內部發生這種問題,比較有制度的公司或許還有機會發現並加以解決。但是如果今天使用者並不是組織內部的員工,而是外部的使用者呢?誰會注意、甚至關心這些人的成本?只要能夠說服使用者接受,對組織而言當然是成本越低越好。
以說服的理由來看,資訊安全在某些時候確實是一個不錯的說詞。所以,我們上網路銀行轉帳需要先購買一個讀卡機、每次使用時先要找出讀卡機、使用後要記得馬上拔掉並收好。這樣的成本有多高?而避免的風險又有多少?兩者之間是否 Cost-Effective 確實存在很大的疑問。簡單來說,風險與成本對不同的人來說本就是不一樣的,但是當所有的算法都是廠商一廂情願的想法,所產生結果的可參考性自然有很大爭議的空間。Microsoft 安全研究員 Cormac Herley 在去年針對這個議題發表了一份論文,引起了一陣討論,也讓我們用更全面地眼光去看待 Cost-Effective 這句話。至少,就時間就是金錢這句話,不是只有”我”的時間才是金錢,”你”的也是。
相關連結:
沒有留言:
張貼留言