Adam Hansen是中小企業(yè)里面的“珍稀人士”：他是一位信息安全官，是Sonnenschein、Nath和Rosenthal（芝加哥一家擁有800名律師的法律事務(wù)所）的安全負(fù)責(zé)人。

Hansen的雇主Granted是處于中小企業(yè)領(lǐng)域中上游的公司，但是，在收入低于5億美元的企業(yè)中，沒有多少企業(yè)僅雇傭一個人來負(fù)責(zé)安全。因此，Hansen是公司里至關(guān)重要的人物，他還領(lǐng)導(dǎo)著一個六人組成的安全專業(yè)團隊，處理這家擁有16個員工的企業(yè)中所有的物理和信息安全的問題?！拔以谶@里已經(jīng)算是很幸運的了。”他說。許多規(guī)模不小的企業(yè)甚至沒有一個人來負(fù)責(zé)整個公司的安全問題。

談到信息安全需要說的是，大多數(shù)中小企業(yè)IT人員往往是多面手，而非專業(yè)人員，就像Sonnenschein一樣。總部位于加利福尼亞州圣克拉拉市的邁克菲安全公司中端市場部門高級VP Darrell Rodenbaugh說：“這些IT人員，昨天生產(chǎn)磁盤，今天又負(fù)責(zé)做網(wǎng)站，明天他們會處理一些與安全相關(guān)的事情?！?/p>

邁克菲調(diào)查顯示，許多中小企業(yè)用戶群體都在不斷地思考安全的做法和習(xí)慣。Rodenbaugh說：“多數(shù)中小企業(yè)平均每周花費少于一周的時間去主動管理安全?！备鶕?jù)最近的邁克菲調(diào)查，大多數(shù)中小企業(yè)受訪者不認(rèn)為自己會成為網(wǎng)絡(luò)犯罪的攻擊目標(biāo)，“他們覺得自己的名聲不足以被那些不法分子知道，但是事實遠(yuǎn)不是這樣。”

根據(jù)Gartner亞特蘭大辦事處主要研究分析師Adam Hils的說法，與大型企業(yè)相比，中小企業(yè)仍然在追趕別人的模式。但是他們僅僅是在追趕。根據(jù)最近Gartner的一項調(diào)查，中小企業(yè)走向成熟的一個標(biāo)志是：今天，中小企業(yè)很可能已經(jīng)有了正式的、書面的安全政策，至少在IT領(lǐng)域是這樣。參與Gartner調(diào)查的47%的受訪者已經(jīng)制定和通過了正式的安全政策。并且約30%的受訪者表示今年內(nèi)就會出臺相應(yīng)的計劃。

Hils表示，在過去的一年中，這幾乎成為了一個趨勢。法規(guī)遵從導(dǎo)致信息安全方面的政策趨于正式。特別是受支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS）影響的零售企業(yè)。如果大型合作伙伴有這方面的需求，甚至對于那些在規(guī)模上不被政府法規(guī)管理的小型企業(yè)也必須遵守相關(guān)規(guī)定。

“除非出于某些特定的原因，多數(shù)這種規(guī)模的企業(yè)不會正視安全問題。”總部位于波士頓的咨詢公司Rapid7的營銷和產(chǎn)品管理部門副總裁Corey Thomas說。在采取了基本水平的保護后，他們通常就可以高枕無憂了。

這種做法還不夠?？偛课挥诿绹聺晌髦軲ount Laurel市的視頻監(jiān)控供應(yīng)商TimeSight Systems公司 CEO Charles Foley說：“在一個毫無意義的訴訟中，一個重要的盜竊或一個網(wǎng)絡(luò)攻擊可以立刻摧毀一個小型企業(yè)?！币坏┵Y源緊缺，無論中小企業(yè)采取什么樣的安全措施都需要具有成本效益，并且還要易于實施。

“我們花費了幾年的時間來試著警告我們的中小企業(yè)用戶，不采取基本的措施總有一天會花費更多的時間和金錢在安全方面?！盧odenbaugh說，“現(xiàn)在我深信，我們必須編造出一個更好的故事。安全措施必須極具成本效益。”

在這個領(lǐng)域中，這樣的經(jīng)濟形式下，節(jié)儉是最能引起人們注意的字眼。我們確定了5個將會影響中小企業(yè)的關(guān)鍵安全趨勢，以及關(guān)于如何利用它們的一些想法：

在安全基礎(chǔ)上建立風(fēng)險管理

采取全面的、基于風(fēng)險的方法在今天已經(jīng)不是什么新鮮的想法了；很多企業(yè)已經(jīng)在內(nèi)部部署了這樣的方法，但是，小型企業(yè)同樣應(yīng)該使用風(fēng)險管理作為安全政策的基礎(chǔ)。因此，安全不僅應(yīng)該包括信息和物理層面，還應(yīng)該包括企業(yè)面對的其他類型的風(fēng)險，例如財務(wù)風(fēng)險、信用風(fēng)險、信譽風(fēng)險、營銷風(fēng)險。首席安全官可能沒能力制定出影響這些領(lǐng)域（例如營銷風(fēng)險）的決策（當(dāng)然這取決于公司C字頭的高層或企業(yè)所有者），但是首席安全官應(yīng)該將確定和制定不同類型的風(fēng)險看作是自己的職責(zé)。

在Sonnenschein公司，Hansen可在雷達(dá)屏幕上看到所有類型的風(fēng)險?！拔覀兒苄疫\，迄今為止我們只需要擔(dān)心IT風(fēng)險。但是這種恐懼很快就擴大開來?！彼f。

建議 目前的狀況導(dǎo)致許多威脅產(chǎn)生，并且首先帶來很大壓力。經(jīng)濟下滑意味著許多零售企業(yè)必須處理高于正常水平的業(yè)務(wù)收縮和欺詐事件。如果你認(rèn)為你的公司不受這種威脅，那你就大錯特錯了。例如，如果你管理一個專業(yè)安裝電線的小型企業(yè)，你需要在這樣的經(jīng)濟形式下了解并且減少不斷上升的銅盜竊事件?！霸诤谏a(chǎn)業(yè)中有一個蓬勃發(fā)展的銅銷售行業(yè)。人們會盜竊電線并且將上面的銅用于出售獲得非法收入?！标P(guān)鍵的做法是減少經(jīng)濟衰退和其它意料之外的途徑帶來的威脅。
#p#
過去幾年中，你必須用單獨的網(wǎng)絡(luò)處理信息技術(shù)和物理安全。今天，物理安全已經(jīng)進(jìn)軍到了IP網(wǎng)絡(luò)中。

Foley說：“我們看到現(xiàn)在有一個強大的發(fā)展趨勢，將物理安全系統(tǒng)（如監(jiān)控和訪問控制）融入到IT安全系統(tǒng)中?！本驮趲啄昵?，這還是不可能的事情。

Foley補充說：“一切都必須是獨立的有限的，今天它們可以通過有線或者無線的方式連接到IP網(wǎng)絡(luò)。使用一般的設(shè)備變得更具有成本效益?！蔽锢戆踩O(shè)備如讀卡器和錄像機可以在互聯(lián)網(wǎng)上運行，這些引領(lǐng)了一個新的安全信息的時代的到來。但是請注意，你將需要一套新的政策來控制這些新的信息資產(chǎn)。

建議 認(rèn)識你的獨特的信息安全和物理安全設(shè)備。Foley報告稱，TimeSight Systems公司的中小企業(yè)用戶的信息和物理安全創(chuàng)造性地混合在了一起。例如，準(zhǔn)入控制系統(tǒng)可以連接到互聯(lián)網(wǎng)，因此員工在刷ID卡進(jìn)入大樓之前不允許登錄到企業(yè)的網(wǎng)絡(luò)。顯然，這對數(shù)以千計的企業(yè)來說將會是很不錯的辦法，避免員工在家登錄到網(wǎng)絡(luò)。并且，其中還有許多有趣的功能。

IMS研究發(fā)現(xiàn)，視頻監(jiān)控是物理安全領(lǐng)域中增長最快的領(lǐng)域。所有規(guī)模的企業(yè)都正在搶購攝像機和視頻分析系統(tǒng)，用來存儲與數(shù)據(jù)（例如人臉和車牌）相關(guān)的高質(zhì)量的圖像?！埃ㄒ曨l分析）像數(shù)字門衛(wèi)一樣，減少了企業(yè)雇傭門衛(wèi)看管的的部分費用?！笨偛课挥隈R薩諸塞州的Bedford市的VideoIQ公司的總裁兼CEO Scott Schnell說。

“當(dāng)有人或者車輛進(jìn)入一個視頻監(jiān)控覆蓋的領(lǐng)域時它會發(fā)出警報。系統(tǒng)可以檢測那些下班后徘徊或游蕩的人們，并且衡量他們的行為是否合規(guī)。”使用視頻監(jiān)控比較頻繁的用戶是酒店、賭場、銀行、高檔零售商和汽車經(jīng)銷商。VideoIQ的攝像頭建議零售價格為1800美元，包括攝像機、足夠儲存兩個月的連續(xù)錄音和相關(guān)PC軟件。

廠商紛紛以吸引中小企業(yè)的價格推出新的視頻技術(shù)。例如，存儲硬件的高成本通常讓想部署視頻監(jiān)控設(shè)備的中小企業(yè)望而卻步。TimeSight生產(chǎn)所謂的“視頻生命周期技術(shù)”，該技術(shù)隨著時間的推移通過降低視頻的質(zhì)量來自動減少存儲在系統(tǒng)上的數(shù)據(jù)的數(shù)量。他說：“用戶會問，如果一周的時間內(nèi)什么情況都沒發(fā)生該怎么辦，該技術(shù)會將這些視頻壓縮到其原大小的三分之一。如果一個月后還是什么都沒發(fā)生，該技術(shù)會將其壓縮至原有大小的九分之一?！边@讓視頻存儲更高效，并且?guī)椭行∑髽I(yè)避免購買新的硬件帶來的額外支出。

在Sonnenschein公司，Hansen使用“智能”視頻系統(tǒng)：“如果監(jiān)控范圍內(nèi)沒有移動的跡象，攝像頭就不會進(jìn)行記錄。它只采集和儲存我們可能需要的東西?！边@一系統(tǒng)取代了看管的門衛(wèi)?！皩τ谖襾碚f，雇傭門衛(wèi)將是一個非凡的成本?！?/p>

建議 Foley建議，如果你想證明視頻監(jiān)控的費用到底是多少，不妨與做營銷的人進(jìn)行溝通，來看看是否他們可以用商業(yè)的企圖隨意使用系統(tǒng)。你不僅更可能在視頻監(jiān)控中獲得想要的資金，你還可以幫助企業(yè)看管好資產(chǎn)?！盃I銷人員需要統(tǒng)計人數(shù)，并且計算出這些人需要多久的時間?！边@種數(shù)據(jù)可以幫助營銷人員優(yōu)化業(yè)務(wù)，運用這項技術(shù)潛在著巨大的好處。

#p#

為了尋求更低的成本，不同規(guī)模的企業(yè)都在使用第三方機構(gòu)提供的多種類型的安全服務(wù)。Ed Eskew 將其安全業(yè)務(wù)批量外包給了一個可信的供應(yīng)商。作為擁有1.18億美元資產(chǎn)的女性服裝制造商Bernard Chaus公司首席信息官，Eskew將其大量的技術(shù)設(shè)備外包給一個過去十年來有著緊密合作的服務(wù)供應(yīng)商，包括安全業(yè)務(wù)。從紐約州到新澤西州，該供應(yīng)商在Chaus的六個分支機構(gòu)中的每個地方都設(shè)有專職工作人員。

“這種安排讓我們得到了需要支持我們的環(huán)境的一切可能的技術(shù)設(shè)施。他們使用了很多項國家的先進(jìn)技術(shù)。我們用VPN來于中國香港和內(nèi)地的廠商進(jìn)行聯(lián)系。我們用安全遠(yuǎn)程檢查技術(shù)來管理這些地方的安全?！盓skew說。

他說，“他們讓工程師在我們的設(shè)備上輪流工作，因此，人員上會不斷更換和重復(fù)。在技能方面也有不斷的更新?！彪S后又補充說，相對于在自己辦公室做這些事情，這種安排更具有成本效益。IT花費比收入的1%還少，2008年為1.18億美元。“讓員工全部擁有這些技能成本十分高昂，至少需要花費50萬美元才能做到。而我只用了25%到30%就把其全部外包出去了?！?/p>

建議 批量外包作為長時間建立的信任關(guān)系，是個更好的辦法。將你的安全設(shè)備交給一個未經(jīng)證實的供應(yīng)商將會增加你的風(fēng)險指數(shù)?！斑@里有太多的利害關(guān)系，”Eskew說，“你必須要清楚和你正在打交道的是什么樣的人。我們有著很好的關(guān)系，這是通過許多年的時間才建立起來的?！?/p>

你需要制定政策并且對你的員工進(jìn)行培訓(xùn)，讓他們知道什么可以接受，什么不能接受。但是“改變?nèi)藗冏鍪碌姆绞讲荒芗訌姲踩！盙artner的Hils說，“如果那樣的話世界就是完美的了，但是我們生活在一個真實的世界里?！?這意味著什么：無論你多想那么做，你都不能對所有的風(fēng)險技術(shù)和環(huán)境外的平臺制定政策?！澳悴荒茏屇悴幌矚g的事情消失，例如即時通訊和Facebook，”Rapid7的Thomas 說，“一旦你制定了相關(guān)政策，你的下屬們都可以找到應(yīng)對措施，然后他們會在你不能察覺的情況下做一些違反規(guī)定的事情，你幾乎什么也看不到。這就是‘上有政策下游對策?！?/p>

取而代之的是，你必須幫助人們找到如何建設(shè)性地與風(fēng)險（如網(wǎng)絡(luò)共享文件的應(yīng)用程序，外部協(xié)作平臺和社交網(wǎng)絡(luò)）進(jìn)行抗?fàn)幍姆椒??！皢T工都希望能完成他們的工作。有很多網(wǎng)絡(luò)工具可以幫助他們完成工作，但是他們必須經(jīng)過良好的培訓(xùn)，知道怎么管理和使用這些網(wǎng)絡(luò)工具。”Thomas說。

建議 自上而下地管理不會起到作用，除非在限制的情況下。Thomas說。“你想要建立溝通，讓他們知道如何在必要的時候做出正確的選擇。”他建議，“你的目標(biāo)是對過程進(jìn)行管理，而不是讓事情變得完美。”

如果你負(fù)責(zé)管理中小企業(yè)的安全，別忘了你還有我們的支持?！爸行∑髽I(yè)的處境目前變得非常窘迫?！盕oley說，“他們沒有足夠的資金，沒有足夠的員工，但是一旦他們想要競爭，他們也可以和大型企業(yè)一樣更好地提供相同質(zhì)量的貨物?！辈⑶疫@意味著和大型企業(yè)同等的安全。

另一方面，你應(yīng)該慶幸你不需要面對大型企業(yè)的頭疼問題?！霸谝患掖笮凸竞臀易鐾瑯庸ぷ鞯囊粋€朋友說，他們面對的是不同的問題。”Sonnenschein公司的Hansen說，“他們規(guī)模龐大，但是規(guī)模往往就是問題所在。規(guī)模讓你們做起事來變得很慢。而我則更靈活一些，并且可以更快地做出安全決策?！?/p>

【編輯推薦】

1. 趨勢科技中小企業(yè)安全無憂安全解決方案
2. 趨勢科技中小企業(yè)安全無憂安全解決方案