五個明智做法確保中小企業安全
Adam Hansen是中小企業里面的“珍稀人士”:他是一位信息安全官,是Sonnenschein、Nath和Rosenthal(芝加哥一家擁有800名律師的法律事務所)的安全負責人。
Hansen的雇主Granted是處于中小企業領域中上游的公司,但是,在收入低于5億美元的企業中,沒有多少企業僅雇傭一個人來負責安全。因此,Hansen是公司里至關重要的人物,他還領導著一個六人組成的安全專業團隊,處理這家擁有16個員工的企業中所有的物理和信息安全的問題。“我在這里已經算是很幸運的了。”他說。許多規模不小的企業甚至沒有一個人來負責整個公司的安全問題。
談到信息安全需要說的是,大多數中小企業IT人員往往是多面手,而非專業人員,就像Sonnenschein一樣。總部位于加利福尼亞州圣克拉拉市的邁克菲安全公司中端市場部門高級VP Darrell Rodenbaugh說:“這些IT人員,昨天生產磁盤,今天又負責做網站,明天他們會處理一些與安全相關的事情。”
邁克菲調查顯示,許多中小企業用戶群體都在不斷地思考安全的做法和習慣。Rodenbaugh說:“多數中小企業平均每周花費少于一周的時間去主動管理安全。”根據最近的邁克菲調查,大多數中小企業受訪者不認為自己會成為網絡犯罪的攻擊目標,“他們覺得自己的名聲不足以被那些不法分子知道,但是事實遠不是這樣。”
根據Gartner亞特蘭大辦事處主要研究分析師Adam Hils的說法,與大型企業相比,中小企業仍然在追趕別人的模式。但是他們僅僅是在追趕。根據最近Gartner的一項調查,中小企業走向成熟的一個標志是:今天,中小企業很可能已經有了正式的、書面的安全政策,至少在IT領域是這樣。參與Gartner調查的47%的受訪者已經制定和通過了正式的安全政策。并且約30%的受訪者表示今年內就會出臺相應的計劃。
Hils表示,在過去的一年中,這幾乎成為了一個趨勢。法規遵從導致信息安全方面的政策趨于正式。特別是受支付卡行業數據安全標準(PCI DSS)影響的零售企業。如果大型合作伙伴有這方面的需求,甚至對于那些在規模上不被政府法規管理的小型企業也必須遵守相關規定。
“除非出于某些特定的原因,多數這種規模的企業不會正視安全問題。”總部位于波士頓的咨詢公司Rapid7的營銷和產品管理部門副總裁Corey Thomas說。在采取了基本水平的保護后,他們通常就可以高枕無憂了。
這種做法還不夠。總部位于美國新澤西州Mount Laurel市的視頻監控供應商TimeSight Systems公司 CEO Charles Foley說:“在一個毫無意義的訴訟中,一個重要的盜竊或一個網絡攻擊可以立刻摧毀一個小型企業。”一旦資源緊缺,無論中小企業采取什么樣的安全措施都需要具有成本效益,并且還要易于實施。
“我們花費了幾年的時間來試著警告我們的中小企業用戶,不采取基本的措施總有一天會花費更多的時間和金錢在安全方面。”Rodenbaugh說,“現在我深信,我們必須編造出一個更好的故事。安全措施必須極具成本效益。”
在這個領域中,這樣的經濟形式下,節儉是最能引起人們注意的字眼。我們確定了5個將會影響中小企業的關鍵安全趨勢,以及關于如何利用它們的一些想法:
在安全基礎上建立風險管理
采取全面的、基于風險的方法在今天已經不是什么新鮮的想法了;很多企業已經在內部部署了這樣的方法,但是,小型企業同樣應該使用風險管理作為安全政策的基礎。因此,安全不僅應該包括信息和物理層面,還應該包括企業面對的其他類型的風險,例如財務風險、信用風險、信譽風險、營銷風險。首席安全官可能沒能力制定出影響這些領域(例如營銷風險)的決策(當然這取決于公司C字頭的高層或企業所有者),但是首席安全官應該將確定和制定不同類型的風險看作是自己的職責。
在Sonnenschein公司,Hansen可在雷達屏幕上看到所有類型的風險。“我們很幸運,迄今為止我們只需要擔心IT風險。但是這種恐懼很快就擴大開來。”他說。
建議 目前的狀況導致許多威脅產生,并且首先帶來很大壓力。經濟下滑意味著許多零售企業必須處理高于正常水平的業務收縮和欺詐事件。如果你認為你的公司不受這種威脅,那你就大錯特錯了。例如,如果你管理一個專業安裝電線的小型企業,你需要在這樣的經濟形式下了解并且減少不斷上升的銅盜竊事件。“在黑色產業中有一個蓬勃發展的銅銷售行業。人們會盜竊電線并且將上面的銅用于出售獲得非法收入。”關鍵的做法是減少經濟衰退和其它意料之外的途徑帶來的威脅。
#p#
過去幾年中,你必須用單獨的網絡處理信息技術和物理安全。今天,物理安全已經進軍到了IP網絡中。
Foley說:“我們看到現在有一個強大的發展趨勢,將物理安全系統(如監控和訪問控制)融入到IT安全系統中。”就在幾年前,這還是不可能的事情。
Foley補充說:“一切都必須是獨立的有限的,今天它們可以通過有線或者無線的方式連接到IP網絡。使用一般的設備變得更具有成本效益。”物理安全設備如讀卡器和錄像機可以在互聯網上運行,這些引領了一個新的安全信息的時代的到來。但是請注意,你將需要一套新的政策來控制這些新的信息資產。
建議 認識你的獨特的信息安全和物理安全設備。Foley報告稱,TimeSight Systems公司的中小企業用戶的信息和物理安全創造性地混合在了一起。例如,準入控制系統可以連接到互聯網,因此員工在刷ID卡進入大樓之前不允許登錄到企業的網絡。顯然,這對數以千計的企業來說將會是很不錯的辦法,避免員工在家登錄到網絡。并且,其中還有許多有趣的功能。
IMS研究發現,視頻監控是物理安全領域中增長最快的領域。所有規模的企業都正在搶購攝像機和視頻分析系統,用來存儲與數據(例如人臉和車牌)相關的高質量的圖像。“(視頻分析)像數字門衛一樣,減少了企業雇傭門衛看管的的部分費用。”總部位于馬薩諸塞州的Bedford市的VideoIQ公司的總裁兼CEO Scott Schnell說。
“當有人或者車輛進入一個視頻監控覆蓋的領域時它會發出警報。系統可以檢測那些下班后徘徊或游蕩的人們,并且衡量他們的行為是否合規。”使用視頻監控比較頻繁的用戶是酒店、賭場、銀行、高檔零售商和汽車經銷商。VideoIQ的攝像頭建議零售價格為1800美元,包括攝像機、足夠儲存兩個月的連續錄音和相關PC軟件。
廠商紛紛以吸引中小企業的價格推出新的視頻技術。例如,存儲硬件的高成本通常讓想部署視頻監控設備的中小企業望而卻步。TimeSight生產所謂的“視頻生命周期技術”,該技術隨著時間的推移通過降低視頻的質量來自動減少存儲在系統上的數據的數量。他說:“用戶會問,如果一周的時間內什么情況都沒發生該怎么辦,該技術會將這些視頻壓縮到其原大小的三分之一。如果一個月后還是什么都沒發生,該技術會將其壓縮至原有大小的九分之一。”這讓視頻存儲更高效,并且幫助中小企業避免購買新的硬件帶來的額外支出。
在Sonnenschein公司,Hansen使用“智能”視頻系統:“如果監控范圍內沒有移動的跡象,攝像頭就不會進行記錄。它只采集和儲存我們可能需要的東西。”這一系統取代了看管的門衛。“對于我來說,雇傭門衛將是一個非凡的成本。”
建議 Foley建議,如果你想證明視頻監控的費用到底是多少,不妨與做營銷的人進行溝通,來看看是否他們可以用商業的企圖隨意使用系統。你不僅更可能在視頻監控中獲得想要的資金,你還可以幫助企業看管好資產。“營銷人員需要統計人數,并且計算出這些人需要多久的時間。”這種數據可以幫助營銷人員優化業務,運用這項技術潛在著巨大的好處。
#p#
為了尋求更低的成本,不同規模的企業都在使用第三方機構提供的多種類型的安全服務。Ed Eskew 將其安全業務批量外包給了一個可信的供應商。作為擁有1.18億美元資產的女性服裝制造商Bernard Chaus公司首席信息官,Eskew將其大量的技術設備外包給一個過去十年來有著緊密合作的服務供應商,包括安全業務。從紐約州到新澤西州,該供應商在Chaus的六個分支機構中的每個地方都設有專職工作人員。
“這種安排讓我們得到了需要支持我們的環境的一切可能的技術設施。他們使用了很多項國家的先進技術。我們用VPN來于中國香港和內地的廠商進行聯系。我們用安全遠程檢查技術來管理這些地方的安全。”Eskew說。
他說,“他們讓工程師在我們的設備上輪流工作,因此,人員上會不斷更換和重復。在技能方面也有不斷的更新。”隨后又補充說,相對于在自己辦公室做這些事情,這種安排更具有成本效益。IT花費比收入的1%還少,2008年為1.18億美元。“讓員工全部擁有這些技能成本十分高昂,至少需要花費50萬美元才能做到。而我只用了25%到30%就把其全部外包出去了。”
建議 批量外包作為長時間建立的信任關系,是個更好的辦法。將你的安全設備交給一個未經證實的供應商將會增加你的風險指數。“這里有太多的利害關系,”Eskew說,“你必須要清楚和你正在打交道的是什么樣的人。我們有著很好的關系,這是通過許多年的時間才建立起來的。”
你需要制定政策并且對你的員工進行培訓,讓他們知道什么可以接受,什么不能接受。但是“改變人們做事的方式不能加強安全。”Gartner的Hils說,“如果那樣的話世界就是完美的了,但是我們生活在一個真實的世界里。” 這意味著什么:無論你多想那么做,你都不能對所有的風險技術和環境外的平臺制定政策。“你不能讓你不喜歡的事情消失,例如即時通訊和Facebook,”Rapid7的Thomas 說,“一旦你制定了相關政策,你的下屬們都可以找到應對措施,然后他們會在你不能察覺的情況下做一些違反規定的事情,你幾乎什么也看不到。這就是‘上有政策下游對策。’”
取而代之的是,你必須幫助人們找到如何建設性地與風險(如網絡共享文件的應用程序,外部協作平臺和社交網絡)進行抗爭的方法。“員工都希望能完成他們的工作。有很多網絡工具可以幫助他們完成工作,但是他們必須經過良好的培訓,知道怎么管理和使用這些網絡工具。”Thomas說。
建議 自上而下地管理不會起到作用,除非在限制的情況下。Thomas說。“你想要建立溝通,讓他們知道如何在必要的時候做出正確的選擇。”他建議,“你的目標是對過程進行管理,而不是讓事情變得完美。”
如果你負責管理中小企業的安全,別忘了你還有我們的支持。“中小企業的處境目前變得非常窘迫。”Foley說,“他們沒有足夠的資金,沒有足夠的員工,但是一旦他們想要競爭,他們也可以和大型企業一樣更好地提供相同質量的貨物。”并且這意味著和大型企業同等的安全。
另一方面,你應該慶幸你不需要面對大型企業的頭疼問題。“在一家大型公司和我做同樣工作的一個朋友說,他們面對的是不同的問題。”Sonnenschein公司的Hansen說,“他們規模龐大,但是規模往往就是問題所在。規模讓你們做起事來變得很慢。而我則更靈活一些,并且可以更快地做出安全決策。”
【編輯推薦】
