Adam Hansen是中小企業(yè)里面的“珍稀人士”：他是一位信息安全官，是Sonnenschein、Nath和Rosenthal（芝加哥一家擁有800名律師的法律事務(wù)所）的安全負(fù)責(zé)人。

Hansen的雇主Granted是處于中小企業(yè)領(lǐng)域中上游的公司，但是，在收入低于5億美元的企業(yè)中，沒(méi)有多少企業(yè)僅雇傭一個(gè)人來(lái)負(fù)責(zé)安全。因此，Hansen是公司里至關(guān)重要的人物，他還領(lǐng)導(dǎo)著一個(gè)六人組成的安全專(zhuān)業(yè)團(tuán)隊(duì)，處理這家擁有16個(gè)員工的企業(yè)中所有的物理和信息安全的問(wèn)題?！拔以谶@里已經(jīng)算是很幸運(yùn)的了?！彼f(shuō)。許多規(guī)模不小的企業(yè)甚至沒(méi)有一個(gè)人來(lái)負(fù)責(zé)整個(gè)公司的安全問(wèn)題。

談到信息安全需要說(shuō)的是，大多數(shù)中小企業(yè)IT人員往往是多面手，而非專(zhuān)業(yè)人員，就像Sonnenschein一樣。總部位于加利福尼亞州圣克拉拉市的邁克菲安全公司中端市場(chǎng)部門(mén)高級(jí)VP Darrell Rodenbaugh說(shuō)：“這些IT人員，昨天生產(chǎn)磁盤(pán)，今天又負(fù)責(zé)做網(wǎng)站，明天他們會(huì)處理一些與安全相關(guān)的事情?！?/p>

邁克菲調(diào)查顯示，許多中小企業(yè)用戶群體都在不斷地思考安全的做法和習(xí)慣。Rodenbaugh說(shuō)：“多數(shù)中小企業(yè)平均每周花費(fèi)少于一周的時(shí)間去主動(dòng)管理安全?！备鶕?jù)最近的邁克菲調(diào)查，大多數(shù)中小企業(yè)受訪者不認(rèn)為自己會(huì)成為網(wǎng)絡(luò)犯罪的攻擊目標(biāo)，“他們覺(jué)得自己的名聲不足以被那些不法分子知道，但是事實(shí)遠(yuǎn)不是這樣。”

根據(jù)Gartner亞特蘭大辦事處主要研究分析師Adam Hils的說(shuō)法，與大型企業(yè)相比，中小企業(yè)仍然在追趕別人的模式。但是他們僅僅是在追趕。根據(jù)最近Gartner的一項(xiàng)調(diào)查，中小企業(yè)走向成熟的一個(gè)標(biāo)志是：今天，中小企業(yè)很可能已經(jīng)有了正式的、書(shū)面的安全政策，至少在IT領(lǐng)域是這樣。參與Gartner調(diào)查的47%的受訪者已經(jīng)制定和通過(guò)了正式的安全政策。并且約30%的受訪者表示今年內(nèi)就會(huì)出臺(tái)相應(yīng)的計(jì)劃。

Hils表示，在過(guò)去的一年中，這幾乎成為了一個(gè)趨勢(shì)。法規(guī)遵從導(dǎo)致信息安全方面的政策趨于正式。特別是受支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS）影響的零售企業(yè)。如果大型合作伙伴有這方面的需求，甚至對(duì)于那些在規(guī)模上不被政府法規(guī)管理的小型企業(yè)也必須遵守相關(guān)規(guī)定。

“除非出于某些特定的原因，多數(shù)這種規(guī)模的企業(yè)不會(huì)正視安全問(wèn)題。”總部位于波士頓的咨詢公司Rapid7的營(yíng)銷(xiāo)和產(chǎn)品管理部門(mén)副總裁Corey Thomas說(shuō)。在采取了基本水平的保護(hù)后，他們通常就可以高枕無(wú)憂了。

這種做法還不夠。總部位于美國(guó)新澤西州Mount Laurel市的視頻監(jiān)控供應(yīng)商TimeSight Systems公司 CEO Charles Foley說(shuō)：“在一個(gè)毫無(wú)意義的訴訟中，一個(gè)重要的盜竊或一個(gè)網(wǎng)絡(luò)攻擊可以立刻摧毀一個(gè)小型企業(yè)?！币坏┵Y源緊缺，無(wú)論中小企業(yè)采取什么樣的安全措施都需要具有成本效益，并且還要易于實(shí)施。

“我們花費(fèi)了幾年的時(shí)間來(lái)試著警告我們的中小企業(yè)用戶，不采取基本的措施總有一天會(huì)花費(fèi)更多的時(shí)間和金錢(qián)在安全方面。”Rodenbaugh說(shuō)，“現(xiàn)在我深信，我們必須編造出一個(gè)更好的故事。安全措施必須極具成本效益?！?/p>

在這個(gè)領(lǐng)域中，這樣的經(jīng)濟(jì)形式下，節(jié)儉是最能引起人們注意的字眼。我們確定了5個(gè)將會(huì)影響中小企業(yè)的關(guān)鍵安全趨勢(shì)，以及關(guān)于如何利用它們的一些想法：

在安全基礎(chǔ)上建立風(fēng)險(xiǎn)管理

采取全面的、基于風(fēng)險(xiǎn)的方法在今天已經(jīng)不是什么新鮮的想法了；很多企業(yè)已經(jīng)在內(nèi)部部署了這樣的方法，但是，小型企業(yè)同樣應(yīng)該使用風(fēng)險(xiǎn)管理作為安全政策的基礎(chǔ)。因此，安全不僅應(yīng)該包括信息和物理層面，還應(yīng)該包括企業(yè)面對(duì)的其他類(lèi)型的風(fēng)險(xiǎn)，例如財(cái)務(wù)風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、信譽(yù)風(fēng)險(xiǎn)、營(yíng)銷(xiāo)風(fēng)險(xiǎn)。首席安全官可能沒(méi)能力制定出影響這些領(lǐng)域（例如營(yíng)銷(xiāo)風(fēng)險(xiǎn)）的決策（當(dāng)然這取決于公司C字頭的高層或企業(yè)所有者），但是首席安全官應(yīng)該將確定和制定不同類(lèi)型的風(fēng)險(xiǎn)看作是自己的職責(zé)。

在Sonnenschein公司，Hansen可在雷達(dá)屏幕上看到所有類(lèi)型的風(fēng)險(xiǎn)?！拔覀兒苄疫\(yùn)，迄今為止我們只需要擔(dān)心IT風(fēng)險(xiǎn)。但是這種恐懼很快就擴(kuò)大開(kāi)來(lái)。”他說(shuō)。

建議 目前的狀況導(dǎo)致許多威脅產(chǎn)生，并且首先帶來(lái)很大壓力。經(jīng)濟(jì)下滑意味著許多零售企業(yè)必須處理高于正常水平的業(yè)務(wù)收縮和欺詐事件。如果你認(rèn)為你的公司不受這種威脅，那你就大錯(cuò)特錯(cuò)了。例如，如果你管理一個(gè)專(zhuān)業(yè)安裝電線的小型企業(yè)，你需要在這樣的經(jīng)濟(jì)形式下了解并且減少不斷上升的銅盜竊事件?！霸诤谏a(chǎn)業(yè)中有一個(gè)蓬勃發(fā)展的銅銷(xiāo)售行業(yè)。人們會(huì)盜竊電線并且將上面的銅用于出售獲得非法收入?！标P(guān)鍵的做法是減少經(jīng)濟(jì)衰退和其它意料之外的途徑帶來(lái)的威脅。
#p#
過(guò)去幾年中，你必須用單獨(dú)的網(wǎng)絡(luò)處理信息技術(shù)和物理安全。今天，物理安全已經(jīng)進(jìn)軍到了IP網(wǎng)絡(luò)中。

Foley說(shuō)：“我們看到現(xiàn)在有一個(gè)強(qiáng)大的發(fā)展趨勢(shì)，將物理安全系統(tǒng)（如監(jiān)控和訪問(wèn)控制）融入到IT安全系統(tǒng)中。”就在幾年前，這還是不可能的事情。

Foley補(bǔ)充說(shuō)：“一切都必須是獨(dú)立的有限的，今天它們可以通過(guò)有線或者無(wú)線的方式連接到IP網(wǎng)絡(luò)。使用一般的設(shè)備變得更具有成本效益。”物理安全設(shè)備如讀卡器和錄像機(jī)可以在互聯(lián)網(wǎng)上運(yùn)行，這些引領(lǐng)了一個(gè)新的安全信息的時(shí)代的到來(lái)。但是請(qǐng)注意，你將需要一套新的政策來(lái)控制這些新的信息資產(chǎn)。

建議 認(rèn)識(shí)你的獨(dú)特的信息安全和物理安全設(shè)備。Foley報(bào)告稱(chēng)，TimeSight Systems公司的中小企業(yè)用戶的信息和物理安全創(chuàng)造性地混合在了一起。例如，準(zhǔn)入控制系統(tǒng)可以連接到互聯(lián)網(wǎng)，因此員工在刷ID卡進(jìn)入大樓之前不允許登錄到企業(yè)的網(wǎng)絡(luò)。顯然，這對(duì)數(shù)以千計(jì)的企業(yè)來(lái)說(shuō)將會(huì)是很不錯(cuò)的辦法，避免員工在家登錄到網(wǎng)絡(luò)。并且，其中還有許多有趣的功能。

IMS研究發(fā)現(xiàn)，視頻監(jiān)控是物理安全領(lǐng)域中增長(zhǎng)最快的領(lǐng)域。所有規(guī)模的企業(yè)都正在搶購(gòu)攝像機(jī)和視頻分析系統(tǒng)，用來(lái)存儲(chǔ)與數(shù)據(jù)（例如人臉和車(chē)牌）相關(guān)的高質(zhì)量的圖像?！埃ㄒ曨l分析）像數(shù)字門(mén)衛(wèi)一樣，減少了企業(yè)雇傭門(mén)衛(wèi)看管的的部分費(fèi)用。”總部位于馬薩諸塞州的Bedford市的VideoIQ公司的總裁兼CEO Scott Schnell說(shuō)。

“當(dāng)有人或者車(chē)輛進(jìn)入一個(gè)視頻監(jiān)控覆蓋的領(lǐng)域時(shí)它會(huì)發(fā)出警報(bào)。系統(tǒng)可以檢測(cè)那些下班后徘徊或游蕩的人們，并且衡量他們的行為是否合規(guī)?！笔褂靡曨l監(jiān)控比較頻繁的用戶是酒店、賭場(chǎng)、銀行、高檔零售商和汽車(chē)經(jīng)銷(xiāo)商。VideoIQ的攝像頭建議零售價(jià)格為1800美元，包括攝像機(jī)、足夠儲(chǔ)存兩個(gè)月的連續(xù)錄音和相關(guān)PC軟件。

廠商紛紛以吸引中小企業(yè)的價(jià)格推出新的視頻技術(shù)。例如，存儲(chǔ)硬件的高成本通常讓想部署視頻監(jiān)控設(shè)備的中小企業(yè)望而卻步。TimeSight生產(chǎn)所謂的“視頻生命周期技術(shù)”，該技術(shù)隨著時(shí)間的推移通過(guò)降低視頻的質(zhì)量來(lái)自動(dòng)減少存儲(chǔ)在系統(tǒng)上的數(shù)據(jù)的數(shù)量。他說(shuō)：“用戶會(huì)問(wèn)，如果一周的時(shí)間內(nèi)什么情況都沒(méi)發(fā)生該怎么辦，該技術(shù)會(huì)將這些視頻壓縮到其原大小的三分之一。如果一個(gè)月后還是什么都沒(méi)發(fā)生，該技術(shù)會(huì)將其壓縮至原有大小的九分之一。”這讓視頻存儲(chǔ)更高效，并且?guī)椭行∑髽I(yè)避免購(gòu)買(mǎi)新的硬件帶來(lái)的額外支出。

在Sonnenschein公司，Hansen使用“智能”視頻系統(tǒng)：“如果監(jiān)控范圍內(nèi)沒(méi)有移動(dòng)的跡象，攝像頭就不會(huì)進(jìn)行記錄。它只采集和儲(chǔ)存我們可能需要的東西?！边@一系統(tǒng)取代了看管的門(mén)衛(wèi)?！皩?duì)于我來(lái)說(shuō)，雇傭門(mén)衛(wèi)將是一個(gè)非凡的成本。”

建議 Foley建議，如果你想證明視頻監(jiān)控的費(fèi)用到底是多少，不妨與做營(yíng)銷(xiāo)的人進(jìn)行溝通，來(lái)看看是否他們可以用商業(yè)的企圖隨意使用系統(tǒng)。你不僅更可能在視頻監(jiān)控中獲得想要的資金，你還可以幫助企業(yè)看管好資產(chǎn)。“營(yíng)銷(xiāo)人員需要統(tǒng)計(jì)人數(shù)，并且計(jì)算出這些人需要多久的時(shí)間?！边@種數(shù)據(jù)可以幫助營(yíng)銷(xiāo)人員優(yōu)化業(yè)務(wù)，運(yùn)用這項(xiàng)技術(shù)潛在著巨大的好處。

#p#

為了尋求更低的成本，不同規(guī)模的企業(yè)都在使用第三方機(jī)構(gòu)提供的多種類(lèi)型的安全服務(wù)。Ed Eskew 將其安全業(yè)務(wù)批量外包給了一個(gè)可信的供應(yīng)商。作為擁有1.18億美元資產(chǎn)的女性服裝制造商Bernard Chaus公司首席信息官，Eskew將其大量的技術(shù)設(shè)備外包給一個(gè)過(guò)去十年來(lái)有著緊密合作的服務(wù)供應(yīng)商，包括安全業(yè)務(wù)。從紐約州到新澤西州，該供應(yīng)商在Chaus的六個(gè)分支機(jī)構(gòu)中的每個(gè)地方都設(shè)有專(zhuān)職工作人員。

“這種安排讓我們得到了需要支持我們的環(huán)境的一切可能的技術(shù)設(shè)施。他們使用了很多項(xiàng)國(guó)家的先進(jìn)技術(shù)。我們用VPN來(lái)于中國(guó)香港和內(nèi)地的廠商進(jìn)行聯(lián)系。我們用安全遠(yuǎn)程檢查技術(shù)來(lái)管理這些地方的安全?！盓skew說(shuō)。

他說(shuō)，“他們讓工程師在我們的設(shè)備上輪流工作，因此，人員上會(huì)不斷更換和重復(fù)。在技能方面也有不斷的更新?！彪S后又補(bǔ)充說(shuō)，相對(duì)于在自己辦公室做這些事情，這種安排更具有成本效益。IT花費(fèi)比收入的1%還少，2008年為1.18億美元?！白寙T工全部擁有這些技能成本十分高昂，至少需要花費(fèi)50萬(wàn)美元才能做到。而我只用了25%到30%就把其全部外包出去了。”

建議 批量外包作為長(zhǎng)時(shí)間建立的信任關(guān)系，是個(gè)更好的辦法。將你的安全設(shè)備交給一個(gè)未經(jīng)證實(shí)的供應(yīng)商將會(huì)增加你的風(fēng)險(xiǎn)指數(shù)?！斑@里有太多的利害關(guān)系，”Eskew說(shuō)，“你必須要清楚和你正在打交道的是什么樣的人。我們有著很好的關(guān)系，這是通過(guò)許多年的時(shí)間才建立起來(lái)的。”

你需要制定政策并且對(duì)你的員工進(jìn)行培訓(xùn)，讓他們知道什么可以接受，什么不能接受。但是“改變?nèi)藗冏鍪碌姆绞讲荒芗訌?qiáng)安全。”Gartner的Hils說(shuō)，“如果那樣的話世界就是完美的了，但是我們生活在一個(gè)真實(shí)的世界里?！?這意味著什么：無(wú)論你多想那么做，你都不能對(duì)所有的風(fēng)險(xiǎn)技術(shù)和環(huán)境外的平臺(tái)制定政策?！澳悴荒茏屇悴幌矚g的事情消失，例如即時(shí)通訊和Facebook，”Rapid7的Thomas 說(shuō)，“一旦你制定了相關(guān)政策，你的下屬們都可以找到應(yīng)對(duì)措施，然后他們會(huì)在你不能察覺(jué)的情況下做一些違反規(guī)定的事情，你幾乎什么也看不到。這就是‘上有政策下游對(duì)策?！?/p>

取而代之的是，你必須幫助人們找到如何建設(shè)性地與風(fēng)險(xiǎn)（如網(wǎng)絡(luò)共享文件的應(yīng)用程序，外部協(xié)作平臺(tái)和社交網(wǎng)絡(luò)）進(jìn)行抗?fàn)幍姆椒??！皢T工都希望能完成他們的工作。有很多網(wǎng)絡(luò)工具可以幫助他們完成工作，但是他們必須經(jīng)過(guò)良好的培訓(xùn)，知道怎么管理和使用這些網(wǎng)絡(luò)工具。”Thomas說(shuō)。

建議 自上而下地管理不會(huì)起到作用，除非在限制的情況下。Thomas說(shuō)?！澳阆胍贤?，讓他們知道如何在必要的時(shí)候做出正確的選擇。”他建議，“你的目標(biāo)是對(duì)過(guò)程進(jìn)行管理，而不是讓事情變得完美?！?/p>

如果你負(fù)責(zé)管理中小企業(yè)的安全，別忘了你還有我們的支持。“中小企業(yè)的處境目前變得非常窘迫?！盕oley說(shuō)，“他們沒(méi)有足夠的資金，沒(méi)有足夠的員工，但是一旦他們想要競(jìng)爭(zhēng)，他們也可以和大型企業(yè)一樣更好地提供相同質(zhì)量的貨物?！辈⑶疫@意味著和大型企業(yè)同等的安全。

另一方面，你應(yīng)該慶幸你不需要面對(duì)大型企業(yè)的頭疼問(wèn)題?！霸谝患掖笮凸竞臀易鐾瑯庸ぷ鞯囊粋€(gè)朋友說(shuō)，他們面對(duì)的是不同的問(wèn)題?！盨onnenschein公司的Hansen說(shuō)，“他們規(guī)模龐大，但是規(guī)模往往就是問(wèn)題所在。規(guī)模讓你們做起事來(lái)變得很慢。而我則更靈活一些，并且可以更快地做出安全決策?！?/p>

【編輯推薦】

1. 趨勢(shì)科技中小企業(yè)安全無(wú)憂安全解決方案
2. 趨勢(shì)科技中小企業(yè)安全無(wú)憂安全解決方案