【臺灣資安大會直擊】台新新光資安主管：資安預算不等於資安部門預算，企業應重新定義資安投資範圍

他表示，企業真正需要思考的，不只是資安部門編列多少經費，而是哪些IT與基礎設施投資，本質上與資安風險治理有關。

資安預算不只是資安部門的預算

方振維表示，目前許多企業在計算資安預算時，往往只統計資安部門直接掌握的項目，例如防火牆、EDR或SOC平臺等，實際上，企業大量與資安有關的支出，經常被歸類在IT、機房、網管或基礎設施預算之中。

他舉例，包括AD（Active Directory）、NAC（Network Access Control）、備份系統、機房UPS、發電機、零信任架構、微分段（Micro Segmentation），甚至EOS／EOL設備汰換等，這些都和資安風險高度相關。

「不是資安單位的預算，才叫資安預算」，方振維說。

他指出，許多企業在資安預算比例上存在極大的差異，關鍵原因在於定義不同。有些企業將防火牆列入資安，有些則是列入網管；有些將備份系統視為IT基礎設施，但也有企業認為備份與勒索軟體防護密切相關，因此應納入資安範疇。

因此，即使同樣宣稱「資安預算占IT預算10%」，不同企業各自涵蓋的內容也可能完全不同。

回歸CIA本質

方振維認為，企業談資安時，不應只聚焦在駭客入侵，而是應重新回到CIA三大核心，也就是機密性（Confidentiality）、完整性（Integrity）與可用性（Availability）。

他特別點出，許多企業多注意機密性、完整性，但是長期忽略Availability的重要性。

例如勒索軟體攻擊，真正影響的就是系統可用性；而備份系統、機房供電、UPS與發電機等，雖然常被視為IT維運項目，但本質上都與系統是否能持續運作有關，因此也屬於資安治理的一部分。

他以企業機房為例指出，即使不是遭到駭客攻擊，只要UPS故障導致系統停擺，對客戶而言結果並沒有差別。「客戶不會管你是自殺還是他殺，他只知道系統不能用」。

資安不是煞車，而是企業的安全氣囊

對於企業內部常將資安視為阻礙營運的部門，方振維也提出不同看法。他認為，資安不應是阻止業務發展的「煞車」，而更像是汽車的安全氣囊。

許多資安措施，例如VPN、VDI跳板、多因素驗證、微分段與權限控管，確實會影響便利性，使得資安部門容易成為內部抱怨對象。但企業若只追求方便，而忽略風險控管，最終付出的代價可能更高。

「離公司最近的方法，就是把網路拔掉、電腦關機，但這不是企業真正要的」，他說。

因此，企業應在營運效率與風險控管之間取得平衡，而不是追求所謂「絕對安全」。

偵測能力比完美防禦更重要

方振維也認為，企業不應幻想能完全阻止駭客入侵，而應假設攻擊者已經進入內部環境。相較於單純強化邊界防禦，他更強調EDR/XDR、行為監控、Log分析、偵測與回應事件、事件追蹤的重要性。

他指出，許多企業真正的問題並不是遭駭，而是「駭客待在內部很久卻沒有被發現」。

此外，他也提到，現今勒索軟體攻擊往往會優先鎖定備份系統，因此企業即使有備份，也未必代表具備完整復原能力。

他認為，企業與其把資源過度投入在災後救援，不如更早投入在防禦、偵測與復原能力建設上。

三層式資安預算架構

針對企業該如何盤點資安投資，方振維提出「三層式資安預算」概念。第一層是直接資安預算，包括防火牆、EDR、IAM與SOC等直接與CIA相關的資安工具；第二層是與Availability有關的預算，例如備份、機房、UPS、備援中心與供電系統等。

第三層則是間接資安預算，包括AD、變更管理、EOS／EOL設備汰換、零信任架構與微服務等，雖然不一定由資安部門主導，但與資安風險高度相關。

他強調，企業真正應該關注的，不是單純追求資安占IT預算的比例，而是能否透過一致的定義與長期追蹤，理解風險變化與投資方向是否合理。