中型公司的CIO们面临的安全问题有许多与大公司CIO面临的一模一样,但可供使用的资源却要少得多,他们获得的经验可以帮你少花钱多办事。 增值经销商所提供的服务正在逐渐增加,因为咨询服务带来的利润要比单单捆绑及经销软件或者其他产品大得多。
Jarocki习惯于得到重视,他曾是摩根·士丹利银行的IT安全副总裁,知道在一家技术投入高达数百万美元的《财富》50强公司管理几十名IT安全员工是怎么回事。如果他打电话给某家供应商,对方一定会马上响应。
但这已经是过去的风光了。如今,Jarocki供职于一家中型财富管理公司——Bessemer Trust,任该公司高级副总裁兼信息安全官,这是一家私人持有的公司,拥有400亿美元资产,却只有600名员工。对于这种规模的公司来讲,信息安全恐怕是再糟糕不过的,而且是最尴尬的部门之一,所以Jarocki不得不改变原来的策略和预期目标。
Gartner副总裁John Pescatore说: “这类中等规模的公司往往大得足以成为攻击目标,却未必大得拥有足够的安全人员和资金预算来做好安全工作,它们往往缺乏严格的IT规章制度,而这会导致各种安全问题。
寻找全能型多面手
找到优秀的多面手,并在适当的时机寻求额外帮助。马萨诸塞州Cambridge Health 联合公司年收入4.66亿美元,Robert Lewis是该公司的首席信息安全官(CISO),同时也是电信和网络服务主管。他认为,最大的难题是在重视专业技能的人才市场中,找到并留住一些具有多方面才能的安全员工。Reavis安全咨询集团的创办人Jim Reavis说: “在一家大企业,安全部门会有大量的专业人员。相比之下,小公司的IT人员就得身兼数职。”
这种情况下,企业就需要多面手型人才。“多面手能够更有效地解决业务问题,而且,还有助于减少员工人数、降低成本,并能在需要时寻求另外的帮助。”安全威胁管理厂商Crossbeam Systems公司的首席安全战略师Christofer Hoff说: “过去,我有幸与一些聪明的多面手共事,他们自身很清醒: 如果缺少了某方面的技能,他们就建议公司帮助他们增强此种技能。我宁愿这样,也不愿雇用只有一种本事的人。如果这种本事用完了,他该怎么办?”
当然,Cambridge Health的Lewis也并不为他部门的两名安全工程师只有一种专长而感到担忧。譬如说,他们俩曾提议: 企业采取的做法应当力求简单化,要专注于安全专用设备上,这类产品只能处理一项任务(譬如内容过滤或者入侵检测),但提供了一定的定制功能。因为这些设备独立运行,而不是运行在服务器上,所以要是出现了故障,很容易查出问题所在。Lewis在描述这类专用设备时说:“它只做它要做的事,它们一般都很稳定、坚固耐用。而且一旦遇到问题,可以打电话给供应商。”
在一些中型公司,所有安全人员都是广泛意义上的多面手,这意味着,他们的责任不仅限于安全领域。譬如在哈得逊咨询公司,首席安全官Mark Lynd还兼任全球首席技术官,Lynd持有信息系统安全认证专业人员(CISSP)证书,他把60%的工作时间用在了安全工作上,其余时间用在了技术和运营工作上。他手下的4个人(其中一人也持有CISSP证书)都把大约一半时间用在了安全工作上。Lynd说: “我们这么做是因为公司非常分散。” 哈得逊咨询公司是一家抵押贷款服务商及房地产管理公司,年收入为1.3亿美元,在墨西哥瓜达拉哈拉、中国台北和德国法兰克福等地设有7个数据中心。Lynd在达拉斯有两名专职员工,另外两人在现场工作。按道理,他可以让其中一名员工专职于安全工作,其他人负责安全以外的工作。但Lynd让每个人把60%的时间用在安全工作上,确保全天候服务。
另外,哈得逊咨询公司的每个数据中心的IT经理都把安全作为各自的一部分工作职责。如果Lynd需要进一步的专业知识,可以从总部设在加州的技术服务提供商请来顾问。
发挥增值经销商的价值
充分利用注重“增值”、而不是注重“经销”的增值经销商(VAR)。
《财富》50强公司通常都位于大型服务提供商的回电名单的前列,如今,Jarocki不在这样的大公司工作了,他发现让企业得到重视的方法就是: 根本不与制造商直接合作,相反,他越来越多地求助于增值经销商(VAR)。VAR往往是地区性的公司,它们销售知名安全和信息技术厂商生产的产品,而且加入了它们自己的专长。
Jarocki说,一些VAR专注于中等规模的组织,往往比大厂商更注意小公司。与往常一样,诀窍在于挑选合适的厂商,然后从本地挑选合适的技术人员。为此,他依赖同行和制造商本身给予的建议。
Jarocki在谈到与Bessemer合作的VAR时说: “它们习惯于帮助小组织,因而了解我们的问题和需求。它们拥有经过良好培训的员工,这些人获得了我们所用产品的资格证书。它们提供了优质的知识库,但你必须从这些人当中精心选择。”
据Gartner公司中小企业研究部门副总裁James Browning声称,这种做法相当典型。“网络和安全是中小企业通过VAR购买的两大主要领域。原因是: 其一,用户并没有能力自行安装、部署和管理所需的资源; 其二,这些项目大部分比较复杂,IT人员自己无法完成。”Browning说: “VAR基本上会告诉小企业,你今年应当做这两件事、明年做那两件事,它们起到了咨询师、顾问和集成商的作用。实际进行部署、培训内部IT人员如何加以管理的正是这些VAR。”
观察人士预计, VAR将做更多的事情,而不是少做事。这主要是因为VAR认识到,咨询服务带来的利润要比单单捆绑及经销软件或者其他产品大得多。
效仿同行
最有价值的研究信息不是来自收费昂贵的咨询顾问,而是来自同行,尤其是在法规遵从方面。以往在大公司时,Jarocki经常拥有相当大的研究预算。不过现在,他得到的最有价值的研究信息不是来自收费昂贵的顾问,而是来自同行。Jarocki说: “你的交往一定要广泛,了解其他人在做什么。最终你会找到实施了某个产品的同行,问问他们有什么经验,了解一下产品是不是管用。”
Jarocki是行业组织——金融服务信息共享及分析中心的创办人之一,因此在业界有庞大的关系网。给他带来最大回报的是所在经纪公司Bessemer与所有监管机构之间的关系,譬如财政部货币监理署和全国证券交易商协会(NASD)等众多机构。
Jarocki说: “先要了解监管机构在一年前所说的内容,再与同行交流,了解他们今年在关注哪些事情。基于这些收集到的信息,Jarocki就可以规划本企业的投资重点,从而把钱用在刀刃上。
对中等规模的公司、特别是那些必须遵守《萨班斯-奥克斯利法案》的公司而言,落实行之有效的法规遵从策略是关键所在。Gartner公司的Pescatore说: “对那些公开上市的公司来说,《萨班斯-奥克斯利法案》阻碍了公司运作。如果你是一家上市公司,每年做1亿美元的业务,却受到与通用电气公司同样的审计力度,那太可怕了。” Pescatore说,有一部分小公司在谈论退市,因为退市后,它们就不必遵守《萨班斯-奥克斯利法案》。
压力不断增加的另一个方面就是,大型的业务合作伙伴提出了安全要求。顾问Reavis说: “关注供应链的大公司很担心风险,但把某个合作伙伴从供应链踢开却是行不通的。譬如说,Visa公司试图利用PCI数据安全计划,加强商家和支付处理方之间的安全。对中型公司来说,麻烦就在这里。”
当然,一些法规已经带来了积极影响。WellSpan是拥有两家医院、年收入约6.19亿美元的非盈利性医疗系统,该公司副总裁兼CIO Gillespie说,HIPAA(《健康保险可携性及责任性法案》)是促使IT部门获得安全和灾难恢复方面所需资金的主要动因。Gillespie手下有一名IT安全经理,他还间接向WellSpan的法规遵从主管汇报。这位经理手下有4名专职员工,他们的主要职责就是确保HIPAA认为是受保护健康信息的任何信息都不泄露出去。
这一切意味着,中型公司的信息安全部门将被迫奋力追赶规模更大的公司。事实上,Lewis采用的方法是,以规模大得多、资源多得多的盈利性组织作为Cambridge Health的衡量基准,而不是以其他地区性医院组织作为衡量基准。Lewis说: “看看有钱人做出的决策,并努力从中学习,这是件好事。”他指出,为此自己经常阅读行业刊物、与同行交流,并且参加像信息系统安全协会这类专业协会召开的会议。“我们仿效了银行和投资公司的做法,因为他们能承受更大的风险,努力从中学习。然后,我们根据现有的资源来面对现实,扪心自问: 我们可以在多大程度仿效一流金融公司的最佳做法?我们在努力向这个目标看齐。尽管这远远超出了我们的承受能力,但可以促使我们思考。”
网友评论