在美国企业界的某个角落,眼下肯定会有安全员工在诅咒高层主管把简直如同垃圾的捆绑软件强加给自己。先说一说具体过程吧:各大安全厂商(无论是赛门铁克、趋势科技、迈克菲还是冠群)的销售人员上门向高层主管提议:对整个公司而言,他们提供的安全软件包将集桌面反病毒、电子邮件安全、入侵检测及Web过滤等功能于一体,而每个用户只要付38美元。
这种情况有什么不对劲的地方吗?一家不愿透露名称的安全软件厂商的主管说:“眼下,安全基础架构的这些关键部分已经成为商品化。问题在于,高层主管觉得,安全就是一种普通商品。这个安全产品与另一个安全产品一样,没啥区别。”
这倒不是说那些厂商不优秀,而是说它们并非样样精通。比方说,赛门铁克的反病毒产品颇负盛名;可是有些安全专业人士就认为它的反垃圾邮件功能不如同类中非常好的的产品来得出色。
现在人们仍能感受得到一家安全厂商向美国国防部成功推销所带来的影响。那家不愿透露名称的厂商称:“那家安全厂商拿到了国防部的合同。随后,我们开始听到安装了该产品的国防部下属各部门抱怨‘哦,上帝!这个产品太差劲了;我们没法使用。’”
高层主管购买了安全软件包的公司确实省下了钱,而且省了不少钱。遗憾的是,它们拿到手的常常是“实际上达不到标准的安全产品;有时候这么做很危险,”那家厂商如是说。
但是如何让对安全软件包动了心的高层主管明白这一点呢?那就是趁钱还没有从高层主管的手里出去,让安全人员参与到决策过程。
这方面Bob Maley就很幸运――他公司在Maley进入之前就解决了问题。他在2005年年底担任宾夕法尼亚州首席信息安全官这个职位之前,宾州就已经开发了一套企业架构流程,这套流程仿照了美国全国州首席信息官协会(NASCIO)的流程。如今这套流程运行已有四年多了,其中一部分就是一套明确的安全产品选择标准。
正如Maley所说的那样,州政府的其他一些部门可能拥有没有限制的资源去购买安全工具,而他部门不是这样。于是,他和所在部门学会了与同行积极合作――不仅仅通过NASCIO来合作,还通过州际信息共享和分析中心(MS-ISAC)来合作。
按照MS-ISAC(该中心通过美国国土安全部来运作)的规定,所有50个州都共享非常好的实践。另外,这家组织最近还免费搭上了联邦政府的“聪明选购”(SmartBUY)采购计划;这项计划旨在运用联邦政府的强大购买力,通过综合采购来节省资金。
这个案例中适合于政府这个部门的方法同样于适合其他部门:与同行联络,了解一下对方使用及信任哪些安全工具,然后弄清楚避免购买哪些毫无价值的东西。
不过要是根本没法躲避购买安全软件包的高层主管,惟一的办法就是在早期阶段进行干预。这时候沟通是关键,但不是这样的沟通方式:安全员工说“我们必须使用某某产品,因为我之前说过这样。”确切地说,安全员工要把只有技术圈子听得懂的话转变成业务圈子也听得懂的话。
Alvaka Networks公司的McDonald忠告:“我建议,安全员工让用户接受自己的意见要人性化。共进午餐,向公司内部的同事学习。让普通员工和管理人员都参与进来,让他们明白为什么要选择你坚持选购的产品。”
McDonald表示,这可以帮助安全专业人士消除“你完全是绊脚石”这个障碍。他说:“你应该这样问雇员和管理人员‘好了,我已买好了上头要我去买的这些产品――比如用来保护PCI信息的安全、保护整个组织的资产,还做了政府要求的其他工作。如果你处在我这个位置,会怎么做?’”
这不是什么正规培训;实际上是大家碰个头,弄清楚如何处理手头的安全任务。
