中型企业的安全经

　　Jarocki 曾经是摩根斯坦利负责IT 安全的高级副总裁，当时他可谓引人注目。在摩根工作时，Jarocki 颇能找到管理《财富》50强企业IT安全的感觉，那时他给某位供应商打电话，能得到最迅速的回应。“我只要拿起电话听筒，那些公司，包括服务供应商、硬件供应商、软件供应商就会在明天一大早来到我的办公室，甚至当天就会来。”他说。



　　但那是以前的情形了，现在Jarocki来到了信息安全领域中一个最棘手的地方——中型企业，正好处于一个两面夹攻的地方，所以他不得不改变策略、校正自己的期望。目前，Jarocki是总部位于纽约的贝西默信托公司(Bessemer Trust)的高级副总裁兼信息安全官，这是一家私人资产管理公司，固定资产40亿美元，只有600 名员工。



　　当谈到信息安全时，专业人士指出，在中等规模的企业里工作最困难，“公司规模大到足以成为别人攻击的靶子，但是公司却没有充足的人力资源和预算做好信息安全工作。这些企业常常没有严密的IT纪律，且由此造成了各种各样的安全问题。”Gartner 的副总裁John Pescatore 说。此外，中型企业可能与比它大10倍的大公司一样，面临众多的监管者。



　　不过，那些收入在1亿～10亿美元之间的中型企业正在信息安全管理方面做得更好，且其中一些表现出色的CIO“怀揣”了许多在预算约束下进行信息安全管理的小技巧，这些技巧甚至可以供有着庞大IT预算的大公司CIO 们学习。



　　招纳多面手



　　马萨诸塞州的剑桥健康联盟(Cambridge Health Alliance，美国大型医疗保健服务机构)的首席信息安全官(CISO)Robert Lewis曾被提名为新英格兰地区的优秀信息安全官候选人，不过在颁奖大会上却眼看着国家大道(State Street)的CISO领走奖项。“她的信息安全员工队伍比我们整个IT 部门还要大。”Lewis 回忆道。



　　那么，对中型组织的CIO而言，信息安全的最大挑战是什么？答案是找到有天分的员工并保持队伍的稳定性。“在一个非常大的企业里，信息安全队伍要拥有大量专业人才。”Jim Reavis 说，他是Reavis 信息安全咨询公司的创始人。“而在中小企业，你要让IT员工拥有多种头衔和职能，他们须是多面手。”中型企业有几个全职员工能投入信息安全工作已很幸运。



　　员工中有多面手不是什么坏事情。“在多数情况下，通才能够更好地解决业务难题。”ChristoferHoff 说。直到2005 年底Hoff 还是WesCorp 联邦信用合作社的首席信息安全官，这个机构2004年的总收入是5 0 亿美元， 他现在是Crossbeam Systems的首席安全战略专家。“一小部分多面手还有助于保持较少的员工人数和削减成本。过去，我有幸和一些聪明的多面手合作过，我喜欢用那样的员工，而不是只有一把弓搭配一支箭的人。”



　　在一些中型企业里，信息安全员工是由更广意义上的通才构成的，这意味着他们的责任不只在信息安全方面。哈德逊顾问公司(Hudson Advisors)的首席安全官(CSO)Mark Lynd 同时还是公司的CTO，他是一位信息系统安全专家，他把60%的时间花在信息安全工作上，其余40%的时间用在履行技术和运营职责上。他有4名员工，其中一位也是信息系统安全专家，他们每位基本上都将60%的时间用在信息安全上。



　　“我们这样做是由企业......More↓↓↓