資安新聞
- 更新日期:114-04-24
- 發布單位:資訊技術服務中心
【iThome新聞】【臺灣資安大會直擊】Shopline資安長:如何用科學的統計和分析模型,來更客觀衡量資安風險與防護成效
「被衡量的事物才會完成(What gets measured gets done)。」零售科技商Shopline資安長李彥民以此名言強調,資安實務中,用具體指標(Metrics)和科學方法來支持決策的重要性。
李彥民說,追蹤資安指標是為了用更客觀的資料,來量化分析資安風險、追蹤資安做法成效、改善資安決策。不過,他引用研究說明,使用貝氏統計方法、蒙地卡羅模擬等科學統計方法的資安從業人員不到2成。反而,按照資安風險發生機率跟影響性高低,來主觀排序風險高低的做法,採用率將近8成。「科學證據支持方法仍被大量忽視,但按照主觀判斷來管理資安風險的做法,恐怕只能達成安慰劑效果。」李彥民直言。
