信息安全省錢之道

中型公司的CIO們面臨的安全問題有許多與大公司CIO面臨的一模一樣，但可供使用的資源卻要少得多，他們獲得的經(jīng)驗(yàn)可以幫你少花錢多辦事。 增值經(jīng)銷商所提供的服務(wù)正在逐漸增加，因?yàn)樽稍兎?wù)帶來的利潤(rùn)要比單單捆綁及經(jīng)銷軟件或者其他產(chǎn)品大得多。

Jarocki習(xí)慣于得到重視，他曾是摩根·士丹利銀行的IT安全副總裁，知道在一家技術(shù)投入高達(dá)數(shù)百萬美元的《財(cái)富》50強(qiáng)公司管理幾十名IT安全員工是怎么回事。如果他打電話給某家供應(yīng)商，對(duì)方一定會(huì)馬上響應(yīng)。

但這已經(jīng)是過去的風(fēng)光了。如今，Jarocki供職于一家中型財(cái)富管理公司——Bessemer Trust，任該公司高級(jí)副總裁兼信息安全官，這是一家私人持有的公司，擁有400億美元資產(chǎn)，卻只有600名員工。對(duì)于這種規(guī)模的公司來講，信息安全恐怕是再糟糕不過的，而且是最尷尬的部門之一，所以Jarocki不得不改變?cè)瓉淼牟呗院皖A(yù)期目標(biāo)。

Gartner副總裁John Pescatore說: “這類中等規(guī)模的公司往往大得足以成為攻擊目標(biāo)，卻未必大得擁有足夠的安全人員和資金預(yù)算來做好安全工作，它們往往缺乏嚴(yán)格的IT規(guī)章制度，而這會(huì)導(dǎo)致各種安全問題。

尋找全能型多面手

找到優(yōu)秀的多面手，并在適當(dāng)?shù)臅r(shí)機(jī)尋求額外幫助。馬薩諸塞州Cambridge Health 聯(lián)合公司年收入4.66億美元，Robert Lewis是該公司的首席信息安全官（CISO），同時(shí)也是電信和網(wǎng)絡(luò)服務(wù)主管。他認(rèn)為，最大的難題是在重視專業(yè)技能的人才市場(chǎng)中，找到并留住一些具有多方面才能的安全員工。Reavis安全咨詢集團(tuán)的創(chuàng)辦人Jim Reavis說: “在一家大企業(yè)，安全部門會(huì)有大量的專業(yè)人員。相比之下，小公司的IT人員就得身兼數(shù)職。”

這種情況下，企業(yè)就需要多面手型人才?！岸嗝媸帜軌蚋行У亟鉀Q業(yè)務(wù)問題，而且，還有助于減少員工人數(shù)、降低成本，并能在需要時(shí)尋求另外的幫助。”安全威脅管理廠商Crossbeam Systems公司的首席安全戰(zhàn)略師Christofer Hoff說: “過去，我有幸與一些聰明的多面手共事，他們自身很清醒: 如果缺少了某方面的技能，他們就建議公司幫助他們?cè)鰪?qiáng)此種技能。我寧愿這樣，也不愿雇用只有一種本事的人。如果這種本事用完了，他該怎么辦？”

當(dāng)然，Cambridge Health的Lewis也并不為他部門的兩名安全工程師只有一種專長(zhǎng)而感到擔(dān)憂。譬如說，他們倆曾提議: 企業(yè)采取的做法應(yīng)當(dāng)力求簡(jiǎn)單化，要專注于安全專用設(shè)備上，這類產(chǎn)品只能處理一項(xiàng)任務(wù)（譬如內(nèi)容過濾或者入侵檢測(cè)），但提供了一定的定制功能。因?yàn)檫@些設(shè)備獨(dú)立運(yùn)行，而不是運(yùn)行在服務(wù)器上，所以要是出現(xiàn)了故障，很容易查出問題所在。Lewis在描述這類專用設(shè)備時(shí)說:“它只做它要做的事，它們一般都很穩(wěn)定、堅(jiān)固耐用。而且一旦遇到問題，可以打電話給供應(yīng)商?！?

在一些中型公司，所有安全人員都是廣泛意義上的多面手，這意味著，他們的責(zé)任不僅限于安全領(lǐng)域。譬如在哈得遜咨詢公司，首席安全官M(fèi)ark Lynd還兼任全球首席技術(shù)官，Lynd持有信息系統(tǒng)安全認(rèn)證專業(yè)人員（CISSP）證書，他把60%的工作時(shí)間用在了安全工作上，其余時(shí)間用在了技術(shù)和運(yùn)營(yíng)工作上。他手下的4個(gè)人（其中一人也持有CISSP證書）都把大約一半時(shí)間用在了安全工作上。Lynd說: “我們這么做是因?yàn)楣痉浅７稚??！?哈得遜咨詢公司是一家抵押貸款服務(wù)商及房地產(chǎn)管理公司，年收入為1.3億美元，在墨西哥瓜達(dá)拉哈拉、中國(guó)臺(tái)北和德國(guó)法蘭克福等地設(shè)有7個(gè)數(shù)據(jù)中心。Lynd在達(dá)拉斯有兩名專職員工，另外兩人在現(xiàn)場(chǎng)工作。按道理，他可以讓其中一名員工專職于安全工作，其他人負(fù)責(zé)安全以外的工作。但Lynd讓每個(gè)人把60%的時(shí)間用在安全工作上，確保全天候服務(wù)。

另外，哈得遜咨詢公司的每個(gè)數(shù)據(jù)中心的IT經(jīng)理都把安全作為各自的一部分工作職責(zé)。如果Lynd需要進(jìn)一步的專業(yè)知識(shí)，可以從總部設(shè)在加州的技術(shù)服務(wù)提供商請(qǐng)來顧問。

發(fā)揮增值經(jīng)銷商的價(jià)值

充分利用注重“增值”、而不是注重“經(jīng)銷”的增值經(jīng)銷商（VAR）。

《財(cái)富》50強(qiáng)公司通常都位于大型服務(wù)提供商的回電名單的前列，如今，Jarocki不在這樣的大公司工作了，他發(fā)現(xiàn)讓企業(yè)得到重視的方法就是: 根本不與制造商直接合作，相反，他越來越多地求助于增值經(jīng)銷商（VAR）。VAR往往是地區(qū)性的公司，它們銷售知名安全和信息技術(shù)廠商生產(chǎn)的產(chǎn)品，而且加入了它們自己的專長(zhǎng)。

Jarocki說，一些VAR專注于中等規(guī)模的組織，往往比大廠商更注意小公司。與往常一樣，訣竅在于挑選合適的廠商，然后從本地挑選合適的技術(shù)人員。為此，他依賴同行和制造商本身給予的建議。

Jarocki在談到與Bessemer合作的VAR時(shí)說: “它們習(xí)慣于幫助小組織，因而了解我們的問題和需求。它們擁有經(jīng)過良好培訓(xùn)的員工，這些人獲得了我們所用產(chǎn)品的資格證書。它們提供了優(yōu)質(zhì)的知識(shí)庫(kù)，但你必須從這些人當(dāng)中精心選擇。”

據(jù)Gartner公司中小企業(yè)研究部門副總裁James Browning聲稱，這種做法相當(dāng)?shù)湫汀！熬W(wǎng)絡(luò)和安全是中小企業(yè)通過VAR購(gòu)買的兩大主要領(lǐng)域。原因是: 其一，用戶并沒有能力自行安裝、部署和管理所需的資源; 其二，這些項(xiàng)目大部分比較復(fù)雜，IT人員自己無法完成?！盉rowning說: “VAR基本上會(huì)告訴小企業(yè)，你今年應(yīng)當(dāng)做這兩件事、明年做那兩件事，它們起到了咨詢師、顧問和集成商的作用。實(shí)際進(jìn)行部署、培訓(xùn)內(nèi)部IT人員如何加以管理的正是這些VAR?！?

觀察人士預(yù)計(jì)， VAR將做更多的事情，而不是少做事。這主要是因?yàn)閂AR認(rèn)識(shí)到，咨詢服務(wù)帶來的利潤(rùn)要比單單捆綁及經(jīng)銷軟件或者其他產(chǎn)品大得多。

效仿同行

最有價(jià)值的研究信息不是來自收費(fèi)昂貴的咨詢顧問，而是來自同行，尤其是在法規(guī)遵從方面。以往在大公司時(shí)，Jarocki經(jīng)常擁有相當(dāng)大的研究預(yù)算。不過現(xiàn)在，他得到的最有價(jià)值的研究信息不是來自收費(fèi)昂貴的顧問，而是來自同行。Jarocki說: “你的交往一定要廣泛，了解其他人在做什么。最終你會(huì)找到實(shí)施了某個(gè)產(chǎn)品的同行，問問他們有什么經(jīng)驗(yàn)，了解一下產(chǎn)品是不是管用?！?

Jarocki是行業(yè)組織——金融服務(wù)信息共享及分析中心的創(chuàng)辦人之一，因此在業(yè)界有龐大的關(guān)系網(wǎng)。給他帶來最大回報(bào)的是所在經(jīng)紀(jì)公司Bessemer與所有監(jiān)管機(jī)構(gòu)之間的關(guān)系，譬如財(cái)政部貨幣監(jiān)理署和全國(guó)證券交易商協(xié)會(huì)（NASD）等眾多機(jī)構(gòu)。

Jarocki說: “先要了解監(jiān)管機(jī)構(gòu)在一年前所說的內(nèi)容，再與同行交流，了解他們今年在關(guān)注哪些事情?；谶@些收集到的信息，Jarocki就可以規(guī)劃本企業(yè)的投資重點(diǎn)，從而把錢用在刀刃上。

對(duì)中等規(guī)模的公司、特別是那些必須遵守《薩班斯－奧克斯利法案》的公司而言，落實(shí)行之有效的法規(guī)遵從策略是關(guān)鍵所在。Gartner公司的Pescatore說: “對(duì)那些公開上市的公司來說，《薩班斯－奧克斯利法案》阻礙了公司運(yùn)作。如果你是一家上市公司，每年做1億美元的業(yè)務(wù)，卻受到與通用電氣公司同樣的審計(jì)力度，那太可怕了。” Pescatore說，有一部分小公司在談?wù)撏耸校驗(yàn)橥耸泻?，它們就不必遵守《薩班斯－奧克斯利法案》。

壓力不斷增加的另一個(gè)方面就是，大型的業(yè)務(wù)合作伙伴提出了安全要求。顧問Reavis說: “關(guān)注供應(yīng)鏈的大公司很擔(dān)心風(fēng)險(xiǎn)，但把某個(gè)合作伙伴從供應(yīng)鏈踢開卻是行不通的。譬如說，Visa公司試圖利用PCI數(shù)據(jù)安全計(jì)劃，加強(qiáng)商家和支付處理方之間的安全。對(duì)中型公司來說，麻煩就在這里。”

當(dāng)然，一些法規(guī)已經(jīng)帶來了積極影響。WellSpan是擁有兩家醫(yī)院、年收入約6.19億美元的非盈利性醫(yī)療系統(tǒng)，該公司副總裁兼CIO Gillespie說，HIPAA（《健康保險(xiǎn)可攜性及責(zé)任性法案》）是促使IT部門獲得安全和災(zāi)難恢復(fù)方面所需資金的主要?jiǎng)右?。Gillespie手下有一名IT安全經(jīng)理，他還間接向WellSpan的法規(guī)遵從主管匯報(bào)。這位經(jīng)理手下有4名專職員工，他們的主要職責(zé)就是確保HIPAA認(rèn)為是受保護(hù)健康信息的任何信息都不泄露出去。