【IT168专稿】Adam Hansen是中小企业界中的稀有人物：他是一名首席安全官（CSO）。Hansen为盛龙翔律师事务所（Sonnenschein, Nath and Rosenthal）负责安全工作，这家总部设在芝加哥的律师事务所共有800名律师。

    诚然，Hansen所在律师事务所在中小企业领域处于较高端，但是对年收入高达5亿美元、专门由人负责安全的大公司而言，像这样规模的公司设立CSO还是不太常见。Hansen的更稀有之处在于他居然还领导着六名安全专业人员， 他们为设有16家办事处的这家事务所处理物理和信息安全的各个方面。他说：“很幸运我在这里工作。”许多规模相当的公司并没有全权掌管安全的专职人员。

    说到信息安全，中小企业的大多数IT人员往往是通才，而不是像盛龙翔律师事务所的安全人士那样个个是专家。Darrell Rodenbaugh 是加利福尼亚州圣克克拉安全软件厂商迈克菲安全公司（McAfee Security）中级市场部门的高级副总裁，他说：“昨天，他们在安装新的磁盘集群；今天，他们在建立网站；明天，又会处理安全工作。”

    迈克菲经常调查其数量众多的中小企业用户，以便了解它们的安全实践和习惯。Rodenbaugh 说：“大多数中小企业每周用在主动管理安全方面的时间还不到一个小时。”据迈克菲公司的最新调查显示，接受调查的中小企业大多数并不相信自己是网络犯罪活动的可能目标。“它们觉得自己的知名度不够高，不会引起人们的注意，但事实绝非如此。”

    据Gartner公司亚特兰大办事处的首席研究分析师Adam Hils声称，与大企业相比，中小企业在安全方面仍处于追赶的状态；不过它们正在奋起直追。据Gartner公司近期的一项调查显示，表明它们日益成熟的一个征兆是：中小企业如今更有可能制订了正规、书面的安全政策，尤其是在IT方面。接受Gartner中小企业调查的对象当中约47%已制订及采用了正规的安全政策。今年计划制订政策的约有30%。

    据Hils声称，这是在过去一年左右的时间出现的一大趋势。遵循法规是信息安全方面制订正规政策的一大动因，特别是对需要遵守支付卡行业数据安全标准（PCI DSS）的零售公司而言。即使某公司的规模不够大，因而不必遵循政府法规的公司，如果要与规模较大、遵守政府法规的合作伙伴合作，同样要遵守这些法规。

    波士顿咨询公司Rapid7的营销和产品经理副总裁Corey Thomas说：“这种规模的公司大多数没有相对认真地看待安全，除非因某种原因而必须关注安全。”采用了基本的保护级别后，它们往往就撒手不管了。

    这种做法不够好。视频监视系统厂商TimeSight Systems公司的首席执行官Charles Foley说：“一次不大的诉讼、一起严重的失窃或一次网络攻击都会立即让小公司陷入瘫痪。”不过，因为资源短缺，中小企业最终采取的任何安全措施都要具有成本效益，还要易于实施。

    Rodenbaugh说：“我们用了几年的时间试图促使我们的中小企业客户在安全方面投入更多的时间和资金。现在我确信我们要搬出更有说服力的理由。安全措施一定要极具成本效益。”