人才短缺問題未見底 託管式安全及資訊科技管理服務助企業解除致命危機
香港約有 77% 的資訊總監(CIO)承認現時聘請 IT 專才的難度,較 5 年前高得多,而且隨著市場發展需要,預計短期內情況也不會改善。要及早解除網絡安全危機,採用託管式安全服務及資訊科技管理服務可說是必然之選。人力資源顧問公司 Robert Half 最新發表調查報告指出,香港約有 77% 的資訊總監(CIO)承認現時聘請 IT 專才的難度,較 5 年前高得多,而且隨著市場發展需要,預計短期內情況也不會改善。無論企業是打算開展數碼轉型(Digital Transformation)或調整轉型步伐,都會因缺人而大受影響,專家警告如過程中出現網絡安全漏洞,隨時對企業造成致命打擊!如要及早解除危機,採用託管式安全服務及資訊科技管理服務可說是必然之選。
目錄
IT專才短缺事出有因
早前市場調查公司 Gartner 發表企業雲端服務部署調查報告,報告內預計 2023 年企業花費在雲服務的投資將會高達 5900 億美元,較去年大增約 20.7%;而畢馬威(KPMG)會計事務所的全球科技調查報告則指出,90% 受訪企業計劃在未來一年升級雲端架構。從兩份報告的數據可見,企業正在加快數碼轉型步伐,因而必須吸納 IT 專才加盟,可以預計人力短缺問題只會愈趨惡化。香港作為國際金融都會,再加上地緣國家推出各種優惠措施競逐專才,令缺人問題雪上加霜。
人才短缺的惡性影響
IT 專才不足,將為企業帶來惡性影響,主要可分為業務及網絡安全兩方面:
| 業務影響 | |
| 拖慢數碼轉型步伐 | 企業要有序地進行數碼轉型,必須交由熟悉各種雲端服務供應商技術及傳統 IT 架構的專才從長計議,否則便難以整合出最有效率的多雲(multi-cloud)或混合雲(hybrid cloud)架構,更嚴重者甚至會無法開展數碼轉型旅程,大大損害企業的市場競爭力。 |
| 妨礙業務發展 | 隨著全球各國陸續推出與網絡安全及數據保護的法規,例如歐盟的一般數據保護法(GDPR)、中國《網絡安全法》,此外亦有針對金融及電子交易的 PCI-DSS 安全認證等,業務上如涉及管理個人私隱數據,便須滿足合規需要。 |
| 網絡安全影響 | |
| 損失難以估計 | IBM 一份調查報告指出,企業完全解決數據外洩的時間平均約需 277 日,涉及的處理成本平均約為 435 萬美元,而且隨著時間延長,造成的損失將會大增。專家指如能將解決時間縮短至 200 日內,便可為受害企業節省 112 萬美元成本。不過,由於安全團隊要處理的安全警報過多,有可能因人手不足而忽略了重要的警報。 |
| 入侵風險升溫 | 缺乏足夠網絡安全人手,便無法確保整個 IT 架構能夠得到 24×7的保護,而且亦無法如期執行各種資訊科技管理例行作業,包括為設備進行系統升級及偵測漏洞,入侵風險大增,一旦有安全事故發生,員工亦無法即時作出回應。 |
| 降低數據可視性 | 隨著企業採用更多雲端應用服務、遙距工作工具及 IoT(物聯網)裝置,結合現時各種端點設備(endpoint devices)及 BYOD(Bring Your Own Device)潮流,IT 架構變得前所未有的複雜,如缺乏合資格的專人管理,IT 架構的數據可視性便會大降,即使在某處出現安全漏洞也難以發現。此外,數據可視性低亦會妨礙企業制定未來發展藍圖,以及無法採集足夠數據提升工作效率。 |
企業紓緩IT 專才不足的方法
為解決人才短缺問題,人力資源顧問公司先後提出以下紓緩建議:
| 留住及吸引人才 | 刊登招聘廣告時除了要提供合理報酬,企業管理者亦應加入其他優惠政策如彈性上班、遙距工作措施,以及可以列明公司會持續提供技術培訓。同時間,人力資源部門應考慮簡化聘請流程,以免合適的人才被其他公司搶走。至於現有員工,企業管理者亦必須了解每個員工的長遠目標,制訂能夠符合他們職業生涯規劃的發展路線。 |
| 提升現職員工技術 | 由於傳統的 IT 員工未必熟悉雲端環境及相關技術,因此企業可安排培訓課程提升員工技力,讓他們可順利過度至新的 IT 架構工作環境。 |
刊登招聘廣告時除了要提供合理報酬,企業管理者亦應加入其他優惠政策如彈性上班、遙距工作措施,以及可以列明公司會持續提供技術培訓。不過,上述方法未必能在一時三刻間解決問題,相反,企業在網絡安全層面上需要顧及的問題卻如山一樣多。香港生產力促進局屬下香港電腦保安事故協調中心發表的《中小企網絡安全七大攻略》 電子書,便從資訊保安政策、保安管理、端點保安、網絡保安、系統保安、保安監察、保安事故處理及員工意識,剖析企業需要解決的問題。要符合上述要求,無論對中小企,甚至是大企業來説都有一定難度,因為企業無可避免地須採購一定的網絡安全工具、聘請網絡安全專家,以及投放資源去培訓員工。企業可考慮採用第三方服務供應商的託管式安全服務,例如託管偵測及回應(Managed Detection and Response, MDR)、安全存取服務邊緣(Secure Access Service Edge, SASE)及資訊科技管理服務,便能及早解安全問題。
採用託管式安全服務及資訊科技管理的優勢
| 低成本享用先進科技 | 包括新世代防火牆(Next Generation Firewall)、DDoS 防護(DDoS Protection)、防惡意程式(Anti-Malware)、網域名稱系統(Domain Name System, DNS),結合新世代網絡安全監控中心(Next Generation Security Operations Center, NGSOC),企業可投放最少的前期資金來獲得更快更全面的服務配置、專業的託管服務及可擴展性,同時亦可降低總擁有成本(Total Cost of Ownership, TCO)。 |
| 威脅情報主動防護 | 雖然不少企業已採用不同的網絡安全防護工具,但由於缺乏最新的威脅情報(Threat Intelligence)資訊,故未能阻止最新的攻擊如無檔案病毒(Fileless Malware)等。MDR供應商不單擁有各種先進科技如人工智能(A.I.)及機器學習(machine learning),而且還會採用本地及環球入侵指標(Indicators of Compromise, IoC)數據,準確預測網絡攻擊的發展趨勢,進而偵測出潛在的可疑活動及減低安全事件誤報率(false alert)。 |
| 符合法規需要 | MDR 供應商的網絡安全專家團隊擁有足夠人手,持有各種國際認證資格,當中包括 CISSP、 GCFE、 GCTI 等認證,熟悉業界的網絡安全框架及運作,能夠協助客戶滿足各行業的安全監管要求。 |
| 全天候保護及系統維護 | 提供 24×7 全天候保護、專業事故回應建議。特別是在現時企業採用更多雲端服務、遙距工作情況下,令傳統網絡發展成具有許多邊緣的網絡,受攻擊層面大增,而供應商的 SASE 技術將可讓企業實現對本地、雲端和邊緣設備的安全遠端存取。而在資訊科技管理支援方面,更包括為企業監測各種端點裝置的系統更新,減低漏洞出現風險,並定期提交安全報告,讓企業可安心專注營運業務,減輕 IT 團隊工作負擔。 |
企業可投放最少的前期資金來獲得更快更全面的服務配置、專業的託管服務及可擴展性,同時亦可降低總擁有成本(Total Cost of Ownership, TCO)。市面上有不同的託管式安全及資訊科技管理服務供應商,標榜的服務內容雖然差不多,但企業在選擇時還有不少問題要注意,例如其安全服務是否涉及複雜的硬件部署程序,還是可簡單地使用無代理(agentless)程式?服務是否真的提供24×7 全天候保護及技術支援?服務水平協議(Service Level Agreement, SLA)如何衡量?收費的透明度?如對上述概念不太熟悉,建議邀請具公信力的服務供應商深入了解。