来自中国培训门户网站“我爱培训网” | 我爱培训网“管理专栏文章” 免费章节

中型企业的安全经

中型企业面临的信息安全难题不比大公司少，但它们能利用的资源却少得多，CIO只有少花钱多办事。

Jarocki曾经是摩根斯坦利负责IT安全的高级副总裁，当时他可谓引人注目。在摩根工作时，Jarocki颇能找到管理《财富》50强企业IT安全的感觉，那时他给某位供应商打电话，能得到最迅速的回应。“我只要拿起电话听筒，那些公司，包括服务供应商、硬件供应商、软件供应商就会在明天一大早来到我的办公室，甚至当天就会来。”他说。

但那是以前的情形了，现在Jarocki来到了信息安全领域中一个最棘手的地方——中型企业，正好处于一个两面夹攻的地方，所以他不得不改变策略、校正自己的期望。目前，Jarocki是总部位于纽约的贝西默信托公司(BessemerTrust)的高级副总裁兼信息安全官，这是一家私人资产管理公司，固定资产40亿美元，只有600名员工。

当谈到信息安全时，专业人士指出，在中等规模的企业里工作最困难，“公司规模大到足以成为别人攻击的靶子，但是公司却没有充足的人力资源和预算做好信息安全工作。这些企业常常没有严密的IT纪律，且由此造成了各种各样的安全问题。”Gartner的副总裁JohnPescatore说。此外，中型企业可能与比它大10倍的大公司一样，面临众多的监管者。

不过，那些收入在1亿～10亿美元之间的中型企业正在信息安全管理方面做得更好，且其中一些表现出色的CIO“怀揣”了许多在预算约束下进行信息安全管理的小技巧，这些技巧甚至可以供有着庞大IT预算的大公司CIO们学习。

招纳多面手

马萨诸塞州的剑桥健康联盟(CambridgeHealthAlliance，美国大型医疗保健服务机构)的首席信息安全官(CISO)RobertLewis曾被提名为新英格兰地区的优秀信息安全官候选人，不过在颁奖大会上却眼看着国家大道(StateStreet)的CISO领走奖项。“她的信息安全员工队伍比我们整个IT部门还要大。”Lewis回忆道。

那么，对中型组织的CIO而言，信息安全的最大挑战是什么？答案是找到有天分的员工并保持队伍的稳定性。“在一个非常大的企业里，信息安全队伍要拥有大量专业人才。”JimReavis说，他是Reavis信息安全咨询公司的创始人。“而在中小企业，你要让IT员工拥有多种头衔和职能，他们须是多面手。”中型企业有几个全职员工能投入信息安全工作已很幸运。

员工中有多面手不是什么坏事情。“在多数情况下，通才能够更好地解决业务难题。”ChristoferHoff说。直到2005年底Hoff还是WesCorp联邦信用合作社的首席信息安全官，这个机构2004年的总收入是50亿美元，他现在是CrossbeamSystems的首席安全战略专家。“一小部分多面手还有助于保持较少的员工人数和削减成本。过去，我有幸和一些聪明的多面手合作过，我喜欢用那样的员工，而不是只有一把弓搭配一支箭的人。”

在一些中型企业里，信息安全员工是由更广意义上的通才构成的，这意味着他们的责任不只在信息安全方面。哈德逊顾问公司(HudsonAdvisors)的首席安全官(CSO)MarkLynd同时还是公司的CTO，他是一位信息系统安全专家，他把60%的时间花在信息安全工作上，其余40%的时间用在履行技术和运营职责上。他有4名员工，其中一位也是信息系统安全专家，他们每位基本上都将60%的时间用在信息安全上。

“我们这样做是由企业分散全球的架构造成的。”Lynd说。他的公司是一家高成长的抵押贷款服务商和不动产管理公司，年收入1.3亿美元，有7个数据中心分别在墨西哥、德国等地。Lynd在美国达拉斯有两个全职员工，另外两名则在各地现场流动工作。理论上，他能够让达拉斯的两名员工100%投入信息安全工作，但是他却让4名员工都将60%的时间用在信息安全工作上。Lynd通过这样做确保了24小时全天候监控企业的信息安全。此外，Lynd还要求每位数据中心的IT经理都把信息安全工作内置到整个工作职责中。

倚重增值服务商

如今，Jarocki不再为财富50强公司工作，那个工作曾把他送上大型IT服务商回访电话名单的前列。现在，他发现为他的公司取得足够多注意力的办法是根本不直接和IT厂商打交道，他开始转向和增值服务商打交道，它们通常是地区性公司，出售的产品来自大型信息安全技术商，但却加进了自己的专业技术。

Jarocki说：“一些增值服务商把重点放在中型组织，且比大型供应商更能给予我们更多关注。我的窍门是选择几家合适的供应商，然后在其中找寻合适的技术专家。他们经常帮助中小型机构，所以了解我们的难题；他们有培训良好的员工，拥有我们所使用产品的厂商资格证书。”

Gartner咨询机构负责中小企业研究组织的副总裁JamesBrowning认为Jarocki做法具有相当的典型性。“网络和安全是中小企业通过增值服务商购买的两个主要服务，原因有二：他们没有完全靠自己安装、实施和管理网络与安全的资源；大多数这种项目的复杂程度超过了其团队自身的处理能力。”

观察人士说，他们希望今后增值服务商做得更多，而不是更少——这主要是因为，增值服务已经知道咨询的利润远远超过简单的捆绑销售软硬件产品。

分享同行经验

过去，Jarocki掌握着相当数额的信息安全研究预算，然而他现在所能得到的最好的研究信息不是来自费用昂贵的咨询专家，而是来自他的同行。“你不得不建立N重关系网，听取其他正在做同样事情的人的看法，问他们进展如何，听取他们就某个产品是否发挥作用的看法。”Jarocki说。

Jarocki是行业组织——金融服务信息共享和分析中心的共同创始人，因此在业界有广泛的人脉。这让他在贝西默信托公司同一些监管机构打交道时得到了很多“回报”。“你要听监管机构的官员说以前的情况，还要和同行聊天，看看监管机构今年正在关注什么。现在，监管机构对信息安全的关注重点在于入侵检测——他们想知道客户的数据是否正在被侵犯，他们关注业务的连续性；另外的监控重点是内部控制。”Jarocki用他收集来的各方信息集中精力做该做的事。

对中型企业来说，特别是对那些必须符合塞班斯(Sarbanes-Oxley)法案要求的企业而言，按照法规遵从要求设置企业的应对战略是关键。“如果你是一个年营业额1亿美元的上市公司，却要像GE承受同样的审计，这种情况太可怕了。”Gartner的Pescatore说。他指出，一些小型公司正在讨论从股市摘牌，那样它们就不必遵循塞班斯法案，不过对中小企业而言，这些困难很快就有可能减轻。去年11月，美国

证监会的一个顾问委员会建议证监会放宽对年收入不足2.5亿美元的公司的审计要求。不过，Jarocki本人却准备迎接更多的监管，而不是更少。“企业遵从监管的底线在于力求让最好的控制措施到位，因为你想让企业存续下去。”

另外，中型企业面临的不断增长的压力是大型业务合作伙伴对信息安全的要求。咨询专家Reavis说：“看重供应链的大型公司非常关心自己的风险，但从他们的供应链名单上砍掉一个个合作者并不切实可行。”例如，Visa正在试着利用自己的PCI数据安全计划来提高其特约商户和支付处理机构的信息安全性。

所有这些都意味着中型企业的信息安全正在被迫追赶比他们的“个儿大”的同行们。“观察那些有钱人及他们的决策，然后努力从中学习，这是件好事。”Lewis说。他认为，通过阅读报刊、图书，和同行交流及参加类似信息系统安全协会等专业协组织很有好处。“我们效仿银行和投行的做法，因为他们能花更多的钱在信息安全上。此外，我们必须面对资源有限的现实，把自身和顶级金融机构的最佳实践做法调校到尽可能接近的程度。我们正在为此努力，尽管这种方式超出了我们的负担能力，但是它让我们思考。”