Adam Hansen是中小企业里面的“珍稀人士”:他是一位信息安全官,是Sonnenschein、Nath和Rosenthal(芝加哥一家拥有800名律师的法律事务所)的安全负责人。
Hansen的雇主Granted是处于中小企业领域中上游的公司,但是,在收入低于5亿美元的企业中,没有多少企业仅雇佣一个人来负责安全。因此,Hansen是公司里至关重要的人物,他还领导着一个六人组成的安全专业团队,处理这家拥有16个员工的企业中所有的物理和信息安全的问题。“我在这里已经算是很幸运的了。”他说。许多规模不小的企业甚至没有一个人来负责整个公司的安全问题。
谈到信息安全需要说的是,大多数中小企业IT人员往往是多面手,而非专业人员,就像Sonnenschein一样。总部位于加利福尼亚州圣克拉拉市的迈克菲安全公司中端市场部门高级VP Darrell Rodenbaugh说:“这些IT人员,昨天生产磁盘,今天又负责做网站,明天他们会处理一些与安全相关的事情。”
迈克菲调查显示,许多中小企业用户群体都在不断地思考安全的做法和习惯。Rodenbaugh说:“多数中小企业平均每周花费少于一周的时间去主动管理安全。”根据最近的迈克菲调查,大多数中小企业受访者不认为自己会成为网络犯罪的攻击目标,“他们觉得自己的名声不足以被那些不法分子知道,但是事实远不是这样。”
根据Gartner亚特兰大办事处主要研究分析师Adam Hils的说法,与大型企业相比,中小企业仍然在追赶别人的模式。但是他们仅仅是在追赶。根据最近Gartner的一项调查,中小企业走向成熟的一个标志是:今天,中小企业很可能已经有了正式的、书面的安全政策,至少在IT领域是这样。参与Gartner调查的47%的受访者已经制定和通过了正式的安全政策。并且约30%的受访者表示今年内就会出台相应的计划。
Hils表示,在过去的一年中,这几乎成为了一个趋势。法规遵从导致信息安全方面的政策趋于正式。特别是受支付卡行业数据安全标准(PCI DSS)影响的零售企业。如果大型合作伙伴有这方面的需求,甚至对于那些在规模上不被政府法规管理的小型企业也必须遵守相关规定。
“除非出于某些特定的原因,多数这种规模的企业不会正视安全问题。”总部位于波士顿的咨询公司Rapid7的营销和产品管理部门副总裁Corey Thomas说。在采取了基本水平的保护后,他们通常就可以高枕无忧了。
这种做法还不够。总部位于美国新泽西州Mount Laurel市的视频监控供应商TimeSight Systems公司 CEO Charles Foley说:“在一个毫无意义的诉讼中,一个重要的盗窃或一个网络攻击可以立刻摧毁一个小型企业。”一旦资源紧缺,无论中小企业采取什么样的安全措施都需要具有成本效益,并且还要易于实施。
“我们花费了几年的时间来试着警告我们的中小企业用户,不采取基本的措施总有一天会花费更多的时间和金钱在安全方面。”Rodenbaugh说,“现在我深信,我们必须编造出一个更好的故事。安全措施必须极具成本效益。”
在这个领域中,这样的经济形式下,节俭是最能引起人们注意的字眼。我们确定了5个将会影响中小企业的关键安全趋势,以及关于如何利用它们的一些想法:
在安全基础上建立风险管理
采取全面的、基于风险的方法在今天已经不是什么新鲜的想法了;很多企业已经在内部部署了这样的方法,但是,小型企业同样应该使用风险管理作为安全政策的基础。因此,安全不仅应该包括信息和物理层面,还应该包括企业面对的其他类型的风险,例如财务风险、信用风险、信誉风险、营销风险。首席安全官可能没能力制定出影响这些领域(例如营销风险)的决策(当然这取决于公司C字头的高层或企业所有者),但是首席安全官应该将确定和制定不同类型的风险看作是自己的职责。
在Sonnenschein公司,Hansen可在雷达屏幕上看到所有类型的风险。“我们很幸运,迄今为止我们只需要担心IT风险。但是这种恐惧很快就扩大开来。”他说。
建议 目前的状况导致许多威胁产生,并且首先带来很大压力。经济下滑意味着许多零售企业必须处理高于正常水平的业务收缩和欺诈事件。如果你认为你的公司不受这种威胁,那你就大错特错了。例如,如果你管理一个专业安装电线的小型企业,你需要在这样的经济形式下了解并且减少不断上升的铜盗窃事件。“在黑色产业中有一个蓬勃发展的铜销售行业。人们会盗窃电线并且将上面的铜用于出售获得非法收入。”关键的做法是减少经济衰退和其它意料之外的途径带来的威胁。
#p#
过去几年中,你必须用单独的网络处理信息技术和物理安全。今天,物理安全已经进军到了IP网络中。
Foley说:“我们看到现在有一个强大的发展趋势,将物理安全系统(如监控和访问控制)融入到IT安全系统中。”就在几年前,这还是不可能的事情。
Foley补充说:“一切都必须是独立的有限的,今天它们可以通过有线或者无线的方式连接到IP网络。使用一般的设备变得更具有成本效益。”物理安全设备如读卡器和录像机可以在互联网上运行,这些引领了一个新的安全信息的时代的到来。但是请注意,你将需要一套新的政策来控制这些新的信息资产。
建议 认识你的独特的信息安全和物理安全设备。Foley报告称,TimeSight Systems公司的中小企业用户的信息和物理安全创造性地混合在了一起。例如,准入控制系统可以连接到互联网,因此员工在刷ID卡进入大楼之前不允许登录到企业的网络。显然,这对数以千计的企业来说将会是很不错的办法,避免员工在家登录到网络。并且,其中还有许多有趣的功能。
IMS研究发现,视频监控是物理安全领域中增长最快的领域。所有规模的企业都正在抢购摄像机和视频分析系统,用来存储与数据(例如人脸和车牌)相关的高质量的图像。“(视频分析)像数字门卫一样,减少了企业雇佣门卫看管的的部分费用。”总部位于马萨诸塞州的Bedford市的VideoIQ公司的总裁兼CEO Scott Schnell说。
“当有人或者车辆进入一个视频监控覆盖的领域时它会发出警报。系统可以检测那些下班后徘徊或游荡的人们,并且衡量他们的行为是否合规。”使用视频监控比较频繁的用户是酒店、赌场、银行、高档零售商和汽车经销商。VideoIQ的摄像头建议零售价格为1800美元,包括摄像机、足够储存两个月的连续录音和相关PC软件。
厂商纷纷以吸引中小企业的价格推出新的视频技术。例如,存储硬件的高成本通常让想部署视频监控设备的中小企业望而却步。TimeSight生产所谓的“视频生命周期技术”,该技术随着时间的推移通过降低视频的质量来自动减少存储在系统上的数据的数量。他说:“用户会问,如果一周的时间内什么情况都没发生该怎么办,该技术会将这些视频压缩到其原大小的三分之一。如果一个月后还是什么都没发生,该技术会将其压缩至原有大小的九分之一。”这让视频存储更高效,并且帮助中小企业避免购买新的硬件带来的额外支出。
在Sonnenschein公司,Hansen使用“智能”视频系统:“如果监控范围内没有移动的迹象,摄像头就不会进行记录。它只采集和储存我们可能需要的东西。”这一系统取代了看管的门卫。“对于我来说,雇佣门卫将是一个非凡的成本。”
建议 Foley建议,如果你想证明视频监控的费用到底是多少,不妨与做营销的人进行沟通,来看看是否他们可以用商业的企图随意使用系统。你不仅更可能在视频监控中获得想要的资金,你还可以帮助企业看管好资产。“营销人员需要统计人数,并且计算出这些人需要多久的时间。”这种数据可以帮助营销人员优化业务,运用这项技术潜在着巨大的好处。
#p#
为了寻求更低的成本,不同规模的企业都在使用第三方机构提供的多种类型的安全服务。Ed Eskew 将其安全业务批量外包给了一个可信的供应商。作为拥有1.18亿美元资产的女性服装制造商Bernard Chaus公司首席信息官,Eskew将其大量的技术设备外包给一个过去十年来有着紧密合作的服务供应商,包括安全业务。从纽约州到新泽西州,该供应商在Chaus的六个分支机构中的每个地方都设有专职工作人员。
“这种安排让我们得到了需要支持我们的环境的一切可能的技术设施。他们使用了很多项国家的先进技术。我们用VPN来于香港和中国内地的厂商进行联系。我们用安全远程检查技术来管理这些地方的安全。”Eskew说。
他说,“他们让工程师在我们的设备上轮流工作,因此,人员上会不断更换和重复。在技能方面也有不断的更新。”随后又补充说,相对于在自己办公室做这些事情,这种安排更具有成本效益。IT花费比收入的1%还少,2008年为1.18亿美元。“让员工全部拥有这些技能成本十分高昂,至少需要花费50万美元才能做到。而我只用了25%到30%就把其全部外包出去了。”
建议 批量外包作为长时间建立的信任关系,是个更好的办法。将你的安全设备交给一个未经证实的供应商将会增加你的风险指数。“这里有太多的利害关系,”Eskew说,“你必须要清楚和你正在打交道的是什么样的人。我们有着很好的关系,这是通过许多年的时间才建立起来的。”
你需要制定政策并且对你的员工进行培训,让他们知道什么可以接受,什么不能接受。但是“改变人们做事的方式不能加强安全。”Gartner的Hils说,“如果那样的话世界就是完美的了,但是我们生活在一个真实的世界里。” 这意味着什么:无论你多想那么做,你都不能对所有的风险技术和环境外的平台制定政策。“你不能让你不喜欢的事情消失,例如即时通讯和Facebook,”Rapid7的Thomas 说,“一旦你制定了相关政策,你的下属们都可以找到应对措施,然后他们会在你不能察觉的情况下做一些违反规定的事情,你几乎什么也看不到。这就是‘上有政策下游对策。’”
取而代之的是,你必须帮助人们找到如何建设性地与风险(如网络共享文件的应用程序,外部协作平台和社交网络)进行抗争的方法。“员工都希望能完成他们的工作。有很多网络工具可以帮助他们完成工作,但是他们必须经过良好的培训,知道怎么管理和使用这些网络工具。”Thomas说。
建议 自上而下地管理不会起到作用,除非在限制的情况下。Thomas说。“你想要建立沟通,让他们知道如何在必要的时候做出正确的选择。”他建议,“你的目标是对过程进行管理,而不是让事情变得完美。”
如果你负责管理中小企业的安全,别忘了你还有我们的支持。“中小企业的处境目前变得非常窘迫。”Foley说,“他们没有足够的资金,没有足够的员工,但是一旦他们想要竞争,他们也可以和大型企业一样更好地提供相同质量的货物。”并且这意味着和大型企业同等的安全。
另一方面,你应该庆幸你不需要面对大型企业的头疼问题。“在一家大型公司和我做同样工作的一个朋友说,他们面对的是不同的问题。”Sonnenschein公司的Hansen说,“他们规模庞大,但是规模往往就是问题所在。规模让你们做起事来变得很慢。而我则更灵活一些,并且可以更快地做出安全决策。”
【编辑推荐】
