【IT168专稿】Adam Hansen是中小企业界中的稀有人物：他是一名首席安全官（CSO）。Hansen为盛龙翔律师事务所（Sonnenschein, Nath and Rosenthal）负责安全工作，这家总部设在芝加哥的律师事务所共有800名律师。

    诚然，Hansen所在律师事务所在中小企业领域处于较高端，但是对年收入高达5亿美元、专门由人负责安全的大公司而言，像这样规模的公司设立CSO还是不太常见。Hansen的更稀有之处在于他居然还领导着六名安全专业人员， 他们为设有16家办事处的这家事务所处理物理和信息安全的各个方面。他说：“很幸运我在这里工作。”许多规模相当的公司并没有全权掌管安全的专职人员。

    说到信息安全，中小企业的大多数IT人员往往是通才，而不是像盛龙翔律师事务所的安全人士那样个个是专家。Darrell Rodenbaugh 是加利福尼亚州圣克克拉安全软件厂商迈克菲安全公司（McAfee Security）中级市场部门的高级副总裁，他说：“昨天，他们在安装新的磁盘集群；今天，他们在建立网站；明天，又会处理安全工作。”

    迈克菲经常调查其数量众多的中小企业用户，以便了解它们的安全实践和习惯。Rodenbaugh 说：“大多数中小企业每周用在主动管理安全方面的时间还不到一个小时。”据迈克菲公司的最新调查显示，接受调查的中小企业大多数并不相信自己是网络犯罪活动的可能目标。“它们觉得自己的知名度不够高，不会引起人们的注意，但事实绝非如此。”

    据Gartner公司亚特兰大办事处的首席研究分析师Adam Hils声称，与大企业相比，中小企业在安全方面仍处于追赶的状态；不过它们正在奋起直追。据Gartner公司近期的一项调查显示，表明它们日益成熟的一个征兆是：中小企业如今更有可能制订了正规、书面的安全政策，尤其是在IT方面。接受Gartner中小企业调查的对象当中约47%已制订及采用了正规的安全政策。今年计划制订政策的约有30%。

    据Hils声称，这是在过去一年左右的时间出现的一大趋势。遵循法规是信息安全方面制订正规政策的一大动因，特别是对需要遵守支付卡行业数据安全标准（PCI DSS）的零售公司而言。即使某公司的规模不够大，因而不必遵循政府法规的公司，如果要与规模较大、遵守政府法规的合作伙伴合作，同样要遵守这些法规。

    波士顿咨询公司Rapid7的营销和产品经理副总裁Corey Thomas说：“这种规模的公司大多数没有相对认真地看待安全，除非因某种原因而必须关注安全。”采用了基本的保护级别后，它们往往就撒手不管了。

    这种做法不够好。视频监视系统厂商TimeSight Systems公司的首席执行官Charles Foley说：“一次不大的诉讼、一起严重的失窃或一次网络攻击都会立即让小公司陷入瘫痪。”不过，因为资源短缺，中小企业最终采取的任何安全措施都要具有成本效益，还要易于实施。

    Rodenbaugh说：“我们用了几年的时间试图促使我们的中小企业客户在安全方面投入更多的时间和资金。现在我确信我们要搬出更有说服力的理由。安全措施一定要极具成本效益。”

    在当前经济形势下，需要节俭已经谈不上是中小企业界的标题新闻了。我们列出了在影响中小企业的五大安全趋势，并介绍了牢牢抓住形势的一些好点子。

    1、风险管理有望成为安全实践的基础。

    采取基于风险的整体方法不是什么新想法；规模庞大的公司采用这种方法已有一段时日了。但规模较小的公司应当把风险管理作为安全政策的基础。因此，安全不仅仅涵盖信息和物理场地，还应当涵盖公司面临的其他种类的风险，包括财务风险、信用风险、名誉风险和市场风险。CSO做出的决策也许影响不了诸如市场风险之类的方面――只有管理班子团队或公司老板做出的决策才会影响这方面。但他应当把确认并告知不同类型的风险视为己任。

    所有主要的风险类型都引起了盛龙翔律师事务所的Hansen的关注。 他说：“到目前为止，我们很幸运，真正要担心的只有IT风险。但要担心的风险类型在迅速增加。”

    好点子：要考虑到当前形势带来的威胁，并优先处理最紧迫的威胁。经济衰退意味着许多零售公司正在应对数量高出平常的商品损耗和退货欺诈。如果你觉得贵公司没有受到这种威胁的影响，请再考虑一下。比方说，如果你有一家小公司在安装线缆，就要留意及防范目前偷铜案增多的势头。Foley说：“在黑市，铜材买卖生意很红火。如果你有一家线材经营公司，有人就会偷取线缆里面的铜材，然后销赃。”关键在于防范由于经济不景气而出现的威胁，以及其他不太会想到的途径。

    在过去，你得用不同的网络来确保信息技术安全和物理安全。如今，物理安全继续融入到IP网络上。

    Foley说：“我们看到了把视频监视和访问控制这些物理安全系统与IT安全系统结合越来的明显趋势。”就在几年前，这还不可能。他补充说：“每个系统都得用不同线缆连起来。如今，它们可以连接至IP网络，不管用不用线缆。充分利用通用基础架构极具成本效益。”读卡器和录像机等物理安全设备可以在IP网络上工作，从而带来了一类新的安全信息。不过要小心，你将来需要一套新的政策来控制这种新的信息资产。

    好点子：看一下你自己有哪些独特的信息和物理安全应用程序。Foley声称，TimeSight Systems公司的中小企业客户在以创新的方式融合信息和物理安全。比方说，访问控制系统能够连接至IP网络上，那样除非员工们刷身份证件进入大楼，否则就无法登录访问公司网络。显然，这对员工在家登录访问网络的众多公司来说行不通。不过，这方面存在许多值得关注的发展前景。

    据市场研究公司IMS Research声称，视频监视是物理安全市场发展速度最快的领域之一。各种规模的公司都在纷纷购买价格合理的视频摄像头和视频分析系统，这种系统可以存储像个人脸部和汽车牌照这些重要数据的高质量图像。VideoIQ公司的总裁兼首席执行官Scott Schnell说：“视频分析系统的功能相当于数字保安，但成本只有真人保安的一小部分。”

    “如果之前已对某个区域进行了报警设置，那么这种系统一检测到某个人或某辆车进入区域，就会发警报给你。这种系统可发现谁在下班后还继续闲逛或逗留，然后采用针对其行为的规则。”视频监视系统的主要用户是酒店、赌场、银行、高端零售和汽车经销商。VideoIQ的摄像头系统建议零售价为1800美元，包括视频摄像头、大容量存储空间（可存储连续两个月的磁带）和个人电脑软件。

    厂商们在竞相推出创新的新型视频技术，价位对中小企业很有吸引力。比方说，存储硬件的高昂成本通常使得中小企业无力部署视频监视系统。TimeSight销售所谓的“视频生命周期技术”，该技术可通过降低视频质量级别，从而自动减少长期存储在系统上的数据量。他说：“用户可以说‘要是在拍摄该视频一周之内没啥问题，就把视频压缩至原来大小的三分之一。如果一个月后没啥问题，就压缩至原来大小的八分之一。’这提高了视频存储的效率，并且帮助中小企业避免购买新硬件。

    盛龙翔律师事务所的Hansen使用了“智能”视频系统：“如果没有人或物体的移动，摄像头就不会摄录。它只会拍摄并存储我们可能需要的视频。”该系统取代了真人保安。“我要是聘用保安就需要一大笔费用。”

    好点子：Foley忠告，试图证明有必要购买视频监视系统时，就要走访销售人员，看看他们能不能将该系统用于业务用途。你不但更有可能获得购买视频监视系统所需的资金，还能做一件对公司业务部门有利的事。“销售人员对人数统计这种工作很在行。他们能够分析那只端头货架旁的人流量有多大，他们在那里驻足了多久？”这种数据能帮助销售人员优化业务，这可能大有助益。

    各种规模的公司在寻求更低的成本，它们使用第三方提供的各种各样的安全服务。Ed Eskew把他的安全职能全部外包给了一家值得信赖的提供商。Eskew是年收入1.18亿美元的私有性质的女装生产商Bernard Chaus公司的首席信息官，他把绝大部分的技术基础架构（包括安全）包给了在过去十年与自己一同成长的服务提供商。这家提供商在Chaus位于纽约州和新泽西州的六个服装厂都派了专职人员在现场。

    Eskew说：“这种安排让我可以享用每一种可能的技能组合，我需要这些技能来支持自己的环境。他们使用许多先进的技术。我们用虚拟专用网（VPN）连接至香港和中国的合同生产商。我们用安全远程检查点技术来缓解及管理来自这些地方的风险。”

    他说：“提供商轮流派自己的工程师来我们服装厂，从而不断换人，还可以不断更新技能。”与内部自己搞相比，这种安排具有成本效益。他的IT开支只占总收入的1%多一点，2008年该公司的收入高达1.18亿美元。“要是让员工掌握所有这些技能需要极高的成本――让内部员工掌握这些技能至少需要50万美元。现在我的外包费用只有这个数的25%至30%。”

    好点子：如果长期建立了值得信赖的合作关系，全面外包更合理。把你的安全职能外包给不可靠的提供商会大大增加你的风险。Eskew说：“得失实在太大了。你需要确保自己清楚在与谁打交道。我们有良好的关系，是多年建立起来的。我觉得，这种关系不是一朝一夕就能建立起来的。”

    你需要政策、需要培训员工，好让他们知道什么是可以接受的、什么不可以接受。Gartner公司的Hils说，但“试图改变人们的行为方式不是确保安全的方法。这只是理想环境，而我们身在实际环境。”这意味着：不管你有多想，也无法把所有高风险的技术和平台从大多数环境赶出去。Rapid7的Thomas说：“你没法禁止IM和Facebook这些技术。你的用户肯定找到变通办法，绕开你的层层限制，而你一无所知。”

    相反，你要帮助人们想方设法积极有效地使用风险较高的工作方式，比如网上文档共享应用程序、外部协作平台和社交网络。Thomas说：“员工们只想完成自己的工作。有许多在线工具可帮助他们完成工作。但他们需要接受流程和规程方面的培训，以便安全地管理这类工具。”

    好点子：不要对什么事件都看不顺眼。自上而下的管理方式行不通，除非在有限的场合下。Thomas说，这个过程与养孩子没什么两样。他说：“你要进行平等的对话，那样他们遇到实际问题时，就知道如何做出正确的选择。尽量一点点进步，而不是急于求成。”

    如果你在中小企业负责安全，我们认同并理解你的处境。Foley说：“眼下，中小企业确实过得紧巴巴。它们没有大笔资金，又没有大批人员；但如果它们想保持竞争力，最好提供质量与大企业同样的产品。”而这意味着，安全方面要做得与大公司在一个水平。

    另一方面，你要庆幸自己不必处理大公司面临的棘手问题。盛龙翔律师事务所的Hansen说：“我的一些朋友在大公司负责安全，他们面临不同难题。公司规模大，这可能是个问题。规模一大，你就快不起来。而我要灵活得多，可以更迅速地做出安全决策。”