亚当·汉森是罕见的鸟在中小企业(SMB)领域:他是一个方案。汉森Sonnenschein小心安全,Nath罗森塔尔,800在芝加哥律师事务所律师。
当然,汉森的雇主坐在SMB的高端频谱大小,但它依然是相对少见的对收入低于5亿美元的公司一个人致力于安全。汉森是少见,他领导着一个员工六个安全专家,他们处理所有的物理和信息安全方面公司有16个办事处。“我很幸运在这里,”他说。类似规模的许多公司没有任何人需要一种安全的全局视图。
当涉及到信息安全,大多数人在中小型企业往往是在Sonnenschein的多面手,而不是专家。“他们放在一个新磁盘农场昨天,今天他们正在做一个网站,明天他们会做一些与安全,“说Darrell Rodenbaugh中级市场部门的高级副总裁迈克菲安全,位于加州圣克拉拉的安全软件供应商。
McAfee调查其庞大的SMB用户经常辨别他们的安全实践和习惯。“大多数花不到一个小时一个星期主动管理安全、“Rodenbaugh说。McAfee最近调查显示,大多数SMB受访者不相信它们是网络犯罪的可能目标。“他们不认为他们是很好,但没有什么可以进一步从真相。”
中小型企业仍在安全追赶模式与大型企业相比,根据亚当边境,主要研究分析师Gartner的亚特兰大办公室。但迎头赶上。成熟的一个标志:中小企业现在更可能有正式的书面安全政策,至少在它的面积,根据Gartner最近的一项调查(见,“SMB IT安全的消费习惯,”27页)。Gartner SMB约47%的调查参与者已经开发和采用正式的安全策略。和计划开发一个今年增加了30%。
这是一个重大趋势在过去一年左右的时间里,根据边境。法规遵从性是一个主要的驱动程序形式化策略在信息安全方面,特别是对于零售公司PCI DSS的范围之内,支付卡行业数据安全标准。(见一个故事的两个PCI审计更多细节)。甚至对公司不够大是由政府规定,他们必须遵守,如果他们的工作与更大的合作伙伴。
“这种规模的大多数公司不仔细看看安全,除非他们出于某种原因,”科里·托马斯说,市场营销和产品管理副总裁Rapid7,波士顿咨询公司。采用基本的保护级别后,他们常常想坐下来。
这种方法不够好。一个轻浮的官司”,一个关键的盗窃或一个网络攻击可以立即削弱小企业,”查尔斯·弗利说首席执行官TimeSight系统,视频监控供应商在山月桂,新泽西州由于资源短,不过,无论smb并采取安全措施需要具有成本效益和容易实现。
“我们花了数年试图恐吓(SMB)客户花更多的时间和金钱在安全,“Rodenbaugh说。“我现在相信,我们必须找出一个更好的故事。(安全措施)非常符合成本效益。”
需要节俭不是头条新闻在这个空间,在这个经济。但是我们已经确定了五个关键安全趋势影响中小型企业,以及一些想法如何利用它们:
1。风险管理应该形成安全实践的基础。的想法采取了一种整体的、基于风险的方法并不是一个新的;企业级的公司一直在做它一段时间。但小公司应该使用风险管理为基础的安全策略,。安全,因此,不仅应该包含信息和物理前提,还有其他类型的企业面临的风险,包括财务风险、信用风险、声誉风险、市场风险。的方案可能无法做出决定影响的区域如市场风险将是C套件或企业主。但是他应该把它看成是一种责任来确定并告知关于不同类型的风险。
汉森在Sonnenschein所有主要的风险类型的雷达屏幕上。“我们很幸运到目前为止只需要担心风险。但这范围正在迅速扩大,”他说。
明亮的想法:因素所产生的威胁现状和解决最紧迫的。经济衰退意味着很多零售公司在处理摩根士丹利水平收缩并返回欺诈。如果你认为你的公司是免除这种威胁,再想想。例如,如果你有一个小型企业,安装接线,你需要意识到,减轻对当前铜盗窃。“有一个蓬勃发展的业务销售铜在黑市上,”Foley说。“如果你有一个连接业务,人们会偷铜的线,然后把它卖掉。”(见csoonline's in-depth红色的淘金热这一现象背后的一些令人吃惊的因素)。关键是要减轻威胁,如雨后春笋般由于糟糕的经济状况,以及其他意料的途径。
2。不断融合的信息安全和物理安全对于中小型企业来说是个好消息。过去几年,你必须有单独的网络信息技术和物理安全。现在,物理安全继续3月到IP网络。
“我们看到一个强大的趋势将物理安全系统监控和访问控制和安全系统,”Foley说。就在几年前,这是不可能的。“一切都必须单独连接。现在他们可以插入到IP网络,有线或无线网络。是更具成本效益的利用常见的基础设施,”他补充道。物理安全设备如读卡器和录像机可以运行在网络上,创建一个新类的安全信息。但要注意,你将需要一套新的政策来控制这条新的信息资产。
明亮的想法:探索自己的独特的信息,和物理安全应用程序。TimeSight系统混合SMB客户信息和物理安全在创新方面,报告福利。例如,访问控制系统可以链接到网络所以员工将不被允许登录公司网络,直到他们刷卡身份证进入大楼。显然,这将不是工作的数百万公司员工登录到网络。不过,这里有很多有趣的可能性。
3所示。内视频监控和分析现在的中小型企业。视频监控是物理安全增长最快的地区之一,根据IMS研究。各种规模的公司都在抢购开授的摄像机和视频分析系统,允许你存储的高质量图像人脸以及牌照等相关数据。“视频分析像一个数字在人类保护的成本的一小部分,”Scott施耐尔说,总裁兼首席执行官VideoIQ,在贝德福德,马。
“它检测到当一个人或车辆进入一个领域你设置它提醒你。系统可以检测人闲逛或挥之不去的小时后和应用规则对他们的行为。”Prime video surveillance users are hotels, casinos, banks, high-end retail and car dealerships. VideoIQ's camera has a suggested retail price of $1,800, which includes the video camera, enough storage for two months of continuous taping and PC software. (See also视频内容分析:看起来聪明。)
厂商争相推出创新的新的视频技术在价格点,对中小型企业的吸引力。例如,传统存储硬件的高成本有限的中小企业从部署视频监控。TimeSight卖什么术语“视频技术生命周期”,自动降低存储系统上的数据量随着时间的推移,通过视频的质量退化。“用户可以说,如果什么都没有发生一周内的这段录像,视频压缩到原来的大小的三分之一。如果什么都没有发生一个月后,把它压缩到原始大小的八分之一,’”他说。这使得视频存储更有效,并帮助smb避免购买新的硬件。
汉森在Sonnenschein使用“智能”视频系统:“如果没有运动,相机不记录。只需要和商店我们可能需要什么。”The system takes the place of human guards. "For me to hire guards would be an extraordinary cost."
明亮的想法:试图证明视频监控的成本时,访问的营销人,看看他们是否可以为商业目的使用该系统,建议福利。不仅你会更容易得到你需要的资金对于视频监控,但你会做好事的业务方面的房子。“营销人员可以计数。他们可以分析都围绕着节流显示多少人,和他们有多久?”That kind of data can help marketers optimize the business, potentially a very great benefit.
4所示。外包比以往任何时候都更受欢迎。寻求降低成本,各种规模的企业在使用第三方提供的所有类型的安全服务。Ed ups外包安全功能批发一个值得信赖的供应商。伯纳德首席信息官洲,1.18亿美元私人持有的女性服装制造商ups外包大部分他的技术基础设施,包括安全、服务提供者,他已经在过去的10年。提供者有全职员工的前提在每个洲在纽约和新泽西的六个设施。
“这种安排让我获得所有可能的技能,我需要支持环境。他们使用很多最先进的技术。我们有vpn合同制造商在香港和中国内地。我们有安全的远程检查点技术来减轻和管理安全的地点,”迈克尔说。
“他们旋转自己的工程师通过我们的设施有不断的更换和重叠。不断刷新的技能,”他补充说,这种安排是成本有效的与内部。他它花有点小于收入的1%,是1.18亿年的2008美元。“把所有这些技能的员工成为cost-prohibitive-at至少500000美元把它内部。我支付25%到30%的外包。”
明亮的想法:批发最好是将外包作为一个建立信任的关系。发送您的安全功能,一个未经证实的提供者会增加你的风险成倍增长。“有太多的利害关系,”迈克尔说。“你需要确保你知道你处理谁。我们有一个好的关系,建立了多年。你不出去第一天,从一无所有到这,在我看来。”
5。认识到你不能把人们的方程。你需要政策和培训你的员工是可以接受的,什么不是。但“改变人们的行为方式是不执行安全的一种方式,”Gartner的边境说。“这将是在一个完美的世界里,但这是真实的世界。”What that means: No matter how much you would like to, you cannot legislate all risky technologies and platforms out of most environments. "You can't outlaw things like IM and Facebook," says Thomas of Rapid7. "Your users will just find workarounds to your restrictions, and then you'll have no [visibility]."
相反,你必须帮助人们寻找建设性地参与风险形式,如在线文档共享应用程序,外部协作平台和社交网络。“员工只是想完成他们的工作。有很多的在线工具,可以帮助他们这样做。但是他们需要训练过程和程序如何管理它们,”托马斯说。(更多的社交媒体上的问题和解决方案,请参阅Web 2.0应用程序,网站和安全解决方案。)
明亮的想法:当涉及到人,抵制俯视一切的冲动。自上而下的管理不工作在有限的情况下除外。这个过程是与提高青少年,托马斯说。“你想建立一个对话框,这样他们会知道如何做出正确的选择的时候。他建议,“追求进步,而不是完美。”
如果你是负责安全的SMB,你有我们的支持。“中小企业越来越真的现在处理,”Foley说。“他们没有大基金和他们没有员工,但是如果他们想要竞争,更好的提供相同质量的商品大玩家”。And that means having security that is on par with large companies.
另一方面,感恩,你不必处理大公司头痛。“我的朋友做我的工作在巨大的公司,他们有不同的问题,“Sonnenschein汉森说。“他们有大小,但这可能是一个问题。大小你慢下来。我可以更灵活,使快速安全的决定。”
劳伦·吉本斯保罗是一个自由撰稿人在波士顿。
这个故事,“SMB安全:5好主意”最初发表的方案 。