勿讓安全成為“裹腳布”

多年以來，由于普遍缺乏專業的安全技能和人員，許多中小型企業都在安全問題上苦苦掙扎。幸運的是，已有的和新出現的一些技術和工具可幫助企業簡化繁重的安全任務。

減少安全復雜性的可能性、技術、工具

如今，企業面臨的威脅可謂此起彼伏，而其必需保護的數據和設備數量卻在與日俱增，因而有人甚至會懷疑簡化企業安全是否現實。雖然為實施和管理新的工具，企業需要考慮適當的預算和實際的可用技能，并且購買和整合簡化安全的工具需要戰略眼光，但仍存在簡化的可能性。

以前，許多企業相信其目前的運作模式是最經濟實惠的，這是因為即使遭到攻擊和損害，其造成的代價也要比花錢購買新產品、請顧問、買服務等更便宜。當然，這是以人工過程的緩慢笨重為代價的，而且此模式也不滿足不斷發展的環境，特別是BYOD迅猛發展。最終，企業會認識到這種淺見會帶來高昂的代價。

如果實施正確的話，檢查策略和重新評估重要工具和過程可以用更少的產品、更少的許可協議、更少的損害、更少的人員和外包實現長遠的節約。

我們看到，成熟的安全廠商能夠將新技術集成到更大的平臺或服務中。最終，企業能夠以新的方式訪問其保護平臺。換言之，企業可以增加保護的數量而無需增加管理界面的復雜性。

簡化企業安全的技術和工具是安全市場的一項重大革新，這種技術中包括安全分析和自動化響應。利用機器學習、人工智能以及類似技術來分析和解釋威脅情報和過往事件可以為企業帶來改善防御的良機。中小型企業可以經由服務供應商而獲得實施和維護幫助。僅依靠技術并不能減少企業安全的復雜性。使技術運行仍要求熟練的技術人員，許多中小型企業甚至要尋求外包。此外，許多CISO（首席信息安全官）還面臨著遷移到公有云和私有云的問題，以及不斷地監視這些基礎架構的需要。為此，企業需要做許多工作才能為這些環境提供必要的參考架構?？晒芾淼陌踩蘸徒y一威脅管理（UTM）方案提供了許多安全特性，其中有些廠商還在UTM方案中提供了移動設備管理和無線訪問點功能。采用基于IaaS的安全可以使用多種有效的虛擬安全控制，從而保障公有云中重要負載的安全。

如何做

基于云的安全廠商可以提供介于SaaS云和云消費者之間的大量安全服務，從而簡化安全問題。這對于強制實施安全控制并發現一些不正確的SaaS實施也是有益的。

許多企業知道自己需要簡化安全卻不知道如何做。而且，安全市場的產品可謂數目繁多，其中當然包括一些優秀產品，但這些產品未必適合企業需要。企業此時需要清醒，必須在市場宣傳的產品和自己真正需要實施及管理的產品之間做出區分。

建議企業每年都進行安全資產的審計，其中包括對每一種獨立的安全控制都制定業務案例。此外，每年還要為內部安全人員評估最具有戰略性的安全任務，并盡可能對剩余任務尋求外部幫助（如，外包）。

企業應當注重保護其高價值的資產，但公司在安全問題上的實際投資水平在許多情況下要少于實際的需求水平?？傮w情況下，任何花費都應當注重那些能夠創造最大價值的信息資產，并根據這種信息資產進行風險評估。

不堪重負的IT人員缺乏計劃策略和實施策略的時間以及人力。無法承受“宕機時間”的企業（檢查和更新老的安全系統必然要花費時間）都有可能拒絕簡化安全進程。企業不妨重點從面向客戶的系統開始，或從直接支持公司收入流的系統開始，循序漸進。