業餘大叔程式心得筆記#10：幾個關於資訊安全的觀念／葉光釗

最近談起資安相關的話題時，發現其他人有些觀念可能有待澄清。筆者因為過去的經歷，在這方面也算是有點心得；所以這裡就來探討幾點大家可能比較有興趣、但觀念上可能跟一般研發經驗不一樣的地方。

1. 資安真的是不能算「投資報酬率」的

之前聽過一個有趣的例子，但不知道是真是假：有些零售業的業主老闆會斤斤計較 「我裝了監視器可以抓到幾個小偷啊？」

我寧願相信這只是個都市傳說。有許多例子可以證明，某些資安措施甚至不一定能降低風險，而是針對 「末日情境」（worst-case scenarios）所設計的，例如「只要某個東西被偷，公司就垮了」狀態的最後一道防線。

所以，即使是願意出錢投資在資安上的老闆們，也必須要認清楚這個現實。

2. 要先弄清楚「保護的標的」和「優先順序」

資安措施無法包山包海，這一點不難瞭解；但是，很多人都忽略了「優先順序」的重要性。

---

本文已獲作者授權並經本站重新編輯，未經書面許可禁止轉載。本站文章提供付費授權轉載或出版，請參閱授權說明、或來信 ask@tuna.to 洽詢。如果您喜歡這篇文章，請按「喜愛」圖像、也歡迎分享到社群網站上！