【IT168专稿】 Adam Hansen是中小企业里面的“珍稀人士”：他是一位信息安全官，是Sonnenschein、Nath和Rosenthal（芝加哥一家拥有800名律师的法律事务所）的安全负责人。

    Hansen的雇主Granted是处于中小企业领域中上游的公司，但是，在收入低于5亿美元的企业中，没有多少企业仅雇佣一个人来负责安全。因此，Hansen是公司里至关重要的人物，他还领导着一个六人组成的安全专业团队，处理这家拥有16个员工的企业中所有的物理和信息安全的问题。“我在这里已经算是很幸运的了。”他说。许多规模不小的企业甚至没有一个人来负责整个公司的安全问题。

    谈到信息安全需要说的是，大多数中小企业IT人员往往是多面手，而非专业人员，就像Sonnenschein一样。总部位于加利福尼亚州圣克拉拉市的迈克菲安全公司中端市场部门高级VP Darrell Rodenbaugh说：“这些IT人员，昨天生产磁盘，今天又负责做网站，明天他们会处理一些与安全相关的事情。”

    迈克菲调查显示，许多中小企业用户群体都在不断地思考安全的做法和习惯。Rodenbaugh说：“多数中小企业平均每周花费少于一周的时间去主动管理安全。”根据最近的迈克菲调查，大多数中小企业受访者不认为自己会成为网络犯罪的攻击目标，“他们觉得自己的名声不足以被那些不法分子知道，但是事实远不是这样。”

    根据Gartner亚特兰大办事处主要研究分析师Adam Hils的说法，与大型企业相比，中小企业仍然在追赶别人的模式。但是他们仅仅是在追赶。根据最近Gartner的一项调查，中小企业走向成熟的一个标志是：今天，中小企业很可能已经有了正式的、书面的安全政策，至少在IT领域是这样。参与Gartner调查的47%的受访者已经制定和通过了正式的安全政策。并且约30%的受访者表示今年内就会出台相应的计划。

    Hils表示，在过去的一年中，这几乎成为了一个趋势。法规遵从导致信息安全方面的政策趋于正式。特别是受支付卡行业数据安全标准（PCI DSS）影响的零售企业。如果大型合作伙伴有这方面的需求，甚至对于那些在规模上不被政府法规管理的小型企业也必须遵守相关规定。

    “除非出于某些特定的原因，多数这种规模的企业不会正视安全问题。”总部位于波士顿的咨询公司Rapid7的营销和产品管理部门副总裁Corey Thomas说。在采取了基本水平的保护后，他们通常就可以高枕无忧了。

    这种做法还不够。总部位于美国新泽西州Mount Laurel市的视频监控供应商TimeSight Systems公司 CEO Charles Foley说：“在一个毫无意义的诉讼中，一个重要的盗窃或一个网络攻击可以立刻摧毁一个小型企业。”一旦资源紧缺，无论中小企业采取什么样的安全措施都需要具有成本效益，并且还要易于实施。

    “我们花费了几年的时间来试着警告我们的中小企业用户，不采取基本的措施总有一天会花费更多的时间和金钱在安全方面。”Rodenbaugh说，“现在我深信，我们必须编造出一个更好的故事。安全措施必须极具成本效益。”

    在这个领域中，这样的经济形式下，节俭是最能引起人们注意的字眼。我们确定了5个将会影响中小企业的关键安全趋势，以及关于如何利用它们的一些想法：

    1、在安全基础上建立风险管理

    采取全面的、基于风险的方法在今天已经不是什么新鲜的想法了；很多企业已经在内部部署了这样的方法，但是，小型企业同样应该使用风险管理作为安全政策的基础。因此，安全不仅应该包括信息和物理层面，还应该包括企业面对的其他类型的风险，例如财务风险、信用风险、信誉风险、营销风险。首席安全官可能没能力制定出影响这些领域（例如营销风险）的决策（当然这取决于公司C字头的高层或企业所有者），但是首席安全官应该将确定和制定不同类型的风险看作是自己的职责。

    在Sonnenschein公司，Hansen可在雷达屏幕上看到所有类型的风险。“我们很幸运，迄今为止我们只需要担心IT风险。但是这种恐惧很快就扩大开来。”他说。

    建议 目前的状况导致许多威胁产生，并且首先带来很大压力。经济下滑意味着许多零售企业必须处理高于正常水平的业务收缩和欺诈事件。如果你认为你的公司不受这种威胁，那你就大错特错了。例如，如果你管理一个专业安装电线的小型企业，你需要在这样的经济形式下了解并且减少不断上升的铜盗窃事件。“在黑色产业中有一个蓬勃发展的铜销售行业。人们会盗窃电线并且将上面的铜用于出售获得非法收入。”关键的做法是减少经济衰退和其它意料之外的途径带来的威胁。