信息安全省錢之道

中型公司的CIO們面臨的安全問題有許多與大公司CIO面臨的一模一樣，但可供使用的資源卻要少得多，他們獲得的經(jīng)驗可以幫你少花錢多辦事。 增值經(jīng)銷商所提供的服務正在逐漸增加，因為咨詢服務帶來的利潤要比單單捆綁及經(jīng)銷軟件或者其他產(chǎn)品大得多。

Jarocki習慣于得到重視，他曾是摩根·士丹利銀行的IT安全副總裁，知道在一家技術投入高達數(shù)百萬美元的《財富》50強公司管理幾十名IT安全員工是怎么回事。如果他打電話給某家供應商，對方一定會馬上響應。

但這已經(jīng)是過去的風光了。如今，Jarocki供職于一家中型財富管理公司——Bessemer Trust，任該公司高級副總裁兼信息安全官，這是一家私人持有的公司，擁有400億美元資產(chǎn)，卻只有600名員工。對于這種規(guī)模的公司來講，信息安全恐怕是再糟糕不過的，而且是最尷尬的部門之一，所以Jarocki不得不改變原來的策略和預期目標。

Gartner副總裁John Pescatore說: “這類中等規(guī)模的公司往往大得足以成為攻擊目標，卻未必大得擁有足夠的安全人員和資金預算來做好安全工作，它們往往缺乏嚴格的IT規(guī)章制度，而這會導致各種安全問題。

尋找全能型多面手

找到優(yōu)秀的多面手，并在適當?shù)臅r機尋求額外幫助。馬薩諸塞州Cambridge Health 聯(lián)合公司年收入4.66億美元，Robert Lewis是該公司的首席信息安全官（CISO），同時也是電信和網(wǎng)絡服務主管。他認為，最大的難題是在重視專業(yè)技能的人才市場中，找到并留住一些具有多方面才能的安全員工。Reavis安全咨詢集團的創(chuàng)辦人Jim Reavis說: “在一家大企業(yè)，安全部門會有大量的專業(yè)人員。相比之下，小公司的IT人員就得身兼數(shù)職?！?

這種情況下，企業(yè)就需要多面手型人才。“多面手能夠更有效地解決業(yè)務問題，而且，還有助于減少員工人數(shù)、降低成本，并能在需要時尋求另外的幫助?！卑踩{管理廠商Crossbeam Systems公司的首席安全戰(zhàn)略師Christofer Hoff說: “過去，我有幸與一些聰明的多面手共事，他們自身很清醒: 如果缺少了某方面的技能，他們就建議公司幫助他們增強此種技能。我寧愿這樣，也不愿雇用只有一種本事的人。如果這種本事用完了，他該怎么辦？”

當然，Cambridge Health的Lewis也并不為他部門的兩名安全工程師只有一種專長而感到擔憂。譬如說，他們倆曾提議: 企業(yè)采取的做法應當力求簡單化，要專注于安全專用設備上，這類產(chǎn)品只能處理一項任務（譬如內容過濾或者入侵檢測），但提供了一定的定制功能。因為這些設備獨立運行，而不是運行在服務器上，所以要是出現(xiàn)了故障，很容易查出問題所在。Lewis在描述這類專用設備時說:“它只做它要做的事，它們一般都很穩(wěn)定、堅固耐用。而且一旦遇到問題，可以打電話給供應商。”

在一些中型公司，所有安全人員都是廣泛意義上的多面手，這意味著，他們的責任不僅限于安全領域。譬如在哈得遜咨詢公司，首席安全官Mark Lynd還兼任全球首席技術官，Lynd持有信息系統(tǒng)安全認證專業(yè)人員（CISSP）證書，他把60%的工作時間用在了安全工作上，其余時間用在了技術和運營工作上。他手下的4個人（其中一人也持有CISSP證書）都把大約一半時間用在了安全工作上。Lynd說: “我們這么做是因為公司非常分散?！?哈得遜咨詢公司是一家抵押貸款服務商及房地產(chǎn)管理公司，年收入為1.3億美元，在墨西哥瓜達拉哈拉、中國臺北和德國法蘭克福等地設有7個數(shù)據(jù)中心。Lynd在達拉斯有兩名專職員工，另外兩人在現(xiàn)場工作。按道理，他可以讓其中一名員工專職于安全工作，其他人負責安全以外的工作。但Lynd讓每個人把60%的時間用在安全工作上，確保全天候服務。

另外，哈得遜咨詢公司的每個數(shù)據(jù)中心的IT經(jīng)理都把安全作為各自的一部分工作職責。如果Lynd需要進一步的專業(yè)知識，可以從總部設在加州的技術服務提供商請來顧問。

發(fā)揮增值經(jīng)銷商的價值

充分利用注重“增值”、而不是注重“經(jīng)銷”的增值經(jīng)銷商（VAR）。

《財富》50強公司通常都位于大型服務提供商的回電名單的前列，如今，Jarocki不在這樣的大公司工作了，他發(fā)現(xiàn)讓企業(yè)得到重視的方法就是: 根本不與制造商直接合作，相反，他越來越多地求助于增值經(jīng)銷商（VAR）。VAR往往是地區(qū)性的公司，它們銷售知名安全和信息技術廠商生產(chǎn)的產(chǎn)品，而且加入了它們自己的專長。

Jarocki說，一些VAR專注于中等規(guī)模的組織，往往比大廠商更注意小公司。與往常一樣，訣竅在于挑選合適的廠商，然后從本地挑選合適的技術人員。為此，他依賴同行和制造商本身給予的建議。

Jarocki在談到與Bessemer合作的VAR時說: “它們習慣于幫助小組織，因而了解我們的問題和需求。它們擁有經(jīng)過良好培訓的員工，這些人獲得了我們所用產(chǎn)品的資格證書。它們提供了優(yōu)質的知識庫，但你必須從這些人當中精心選擇?！?

據(jù)Gartner公司中小企業(yè)研究部門副總裁James Browning聲稱，這種做法相當?shù)湫?。“網(wǎng)絡和安全是中小企業(yè)通過VAR購買的兩大主要領域。原因是: 其一，用戶并沒有能力自行安裝、部署和管理所需的資源; 其二，這些項目大部分比較復雜，IT人員自己無法完成?！盉rowning說: “VAR基本上會告訴小企業(yè)，你今年應當做這兩件事、明年做那兩件事，它們起到了咨詢師、顧問和集成商的作用。實際進行部署、培訓內部IT人員如何加以管理的正是這些VAR?！?

觀察人士預計， VAR將做更多的事情，而不是少做事。這主要是因為VAR認識到，咨詢服務帶來的利潤要比單單捆綁及經(jīng)銷軟件或者其他產(chǎn)品大得多。

效仿同行

最有價值的研究信息不是來自收費昂貴的咨詢顧問，而是來自同行，尤其是在法規(guī)遵從方面。以往在大公司時，Jarocki經(jīng)常擁有相當大的研究預算。不過現(xiàn)在，他得到的最有價值的研究信息不是來自收費昂貴的顧問，而是來自同行。Jarocki說: “你的交往一定要廣泛，了解其他人在做什么。最終你會找到實施了某個產(chǎn)品的同行，問問他們有什么經(jīng)驗，了解一下產(chǎn)品是不是管用?！?

Jarocki是行業(yè)組織——金融服務信息共享及分析中心的創(chuàng)辦人之一，因此在業(yè)界有龐大的關系網(wǎng)。給他帶來最大回報的是所在經(jīng)紀公司Bessemer與所有監(jiān)管機構之間的關系，譬如財政部貨幣監(jiān)理署和全國證券交易商協(xié)會（NASD）等眾多機構。

Jarocki說: “先要了解監(jiān)管機構在一年前所說的內容，再與同行交流，了解他們今年在關注哪些事情?；谶@些收集到的信息，Jarocki就可以規(guī)劃本企業(yè)的投資重點，從而把錢用在刀刃上。

對中等規(guī)模的公司、特別是那些必須遵守《薩班斯－奧克斯利法案》的公司而言，落實行之有效的法規(guī)遵從策略是關鍵所在。Gartner公司的Pescatore說: “對那些公開上市的公司來說，《薩班斯－奧克斯利法案》阻礙了公司運作。如果你是一家上市公司，每年做1億美元的業(yè)務，卻受到與通用電氣公司同樣的審計力度，那太可怕了。” Pescatore說，有一部分小公司在談論退市，因為退市后，它們就不必遵守《薩班斯－奧克斯利法案》。

壓力不斷增加的另一個方面就是，大型的業(yè)務合作伙伴提出了安全要求。顧問Reavis說: “關注供應鏈的大公司很擔心風險，但把某個合作伙伴從供應鏈踢開卻是行不通的。譬如說，Visa公司試圖利用PCI數(shù)據(jù)安全計劃，加強商家和支付處理方之間的安全。對中型公司來說，麻煩就在這里?！?

當然，一些法規(guī)已經(jīng)帶來了積極影響。WellSpan是擁有兩家醫(yī)院、年收入約6.19億美元的非盈利性醫(yī)療系統(tǒng)，該公司副總裁兼CIO Gillespie說，HIPAA（《健康保險可攜性及責任性法案》）是促使IT部門獲得安全和災難恢復方面所需資金的主要動因。Gillespie手下有一名IT安全經(jīng)理，他還間接向WellSpan的法規(guī)遵從主管匯報。這位經(jīng)理手下有4名專職員工，他們的主要職責就是確保HIPAA認為是受保護健康信息的任何信息都不泄露出去。