勿让安全成为“裹脚布”

多年以来，由于普遍缺乏专业的安全技能和人员，许多中小型企业都在安全问题上苦苦挣扎。幸运的是，已有的和新出现的一些技术和工具可帮助企业简化繁重的安全任务。

减少安全复杂性的可能性、技术、工具

如今，企业面临的威胁可谓此起彼伏，而其必需保护的数据和设备数量却在与日俱增，因而有人甚至会怀疑简化企业安全是否现实。虽然为实施和管理新的工具，企业需要考虑适当的预算和实际的可用技能，并且购买和整合简化安全的工具需要战略眼光，但仍存在简化的可能性。

以前，许多企业相信其目前的运作模式是最经济实惠的，这是因为即使遭到攻击和损害，其造成的代价也要比花钱购买新产品、请顾问、买服务等更便宜。当然，这是以人工过程的缓慢笨重为代价的，而且此模式也不满足不断发展的环境，特别是BYOD迅猛发展。最终，企业会认识到这种浅见会带来高昂的代价。

如果实施正确的话，检查策略和重新评估重要工具和过程可以用更少的产品、更少的许可协议、更少的损害、更少的人员和外包实现长远的节约。

我们看到，成熟的安全厂商能够将新技术集成到更大的平台或服务中。最终，企业能够以新的方式访问其保护平台。换言之，企业可以增加保护的数量而无需增加管理界面的复杂性。

简化企业安全的技术和工具是安全市场的一项重大革新，这种技术中包括安全分析和自动化响应。利用机器学习、人工智能以及类似技术来分析和解释威胁情报和过往事件可以为企业带来改善防御的良机。中小型企业可以经由服务供应商而获得实施和维护帮助。仅依靠技术并不能减少企业安全的复杂性。使技术运行仍要求熟练的技术人员，许多中小型企业甚至要寻求外包。此外，许多CISO（首席信息安全官）还面临着迁移到公有云和私有云的问题，以及不断地监视这些基础架构的需要。为此，企业需要做许多工作才能为这些环境提供必要的参考架构。可管理的安全服务和统一威胁管理（UTM）方案提供了许多安全特性，其中有些厂商还在UTM方案中提供了移动设备管理和无线访问点功能。采用基于IaaS的安全可以使用多种有效的虚拟安全控制，从而保障公有云中重要负载的安全。

如何做

基于云的安全厂商可以提供介于SaaS云和云消费者之间的大量安全服务，从而简化安全问题。这对于强制实施安全控制并发现一些不正确的SaaS实施也是有益的。

许多企业知道自己需要简化安全却不知道如何做。而且，安全市场的产品可谓数目繁多，其中当然包括一些优秀产品，但这些产品未必适合企业需要。企业此时需要清醒，必须在市场宣传的产品和自己真正需要实施及管理的产品之间做出区分。

建议企业每年都进行安全资产的审计，其中包括对每一种独立的安全控制都制定业务案例。此外，每年还要为内部安全人员评估最具有战略性的安全任务，并尽可能对剩余任务寻求外部帮助（如，外包）。

企业应当注重保护其高价值的资产，但公司在安全问题上的实际投资水平在许多情况下要少于实际的需求水平。总体情况下，任何花费都应当注重那些能够创造最大价值的信息资产，并根据这种信息资产进行风险评估。

不堪重负的IT人员缺乏计划策略和实施策略的时间以及人力。无法承受“宕机时间”的企业（检查和更新老的安全系统必然要花费时间）都有可能拒绝简化安全进程。企业不妨重点从面向客户的系统开始，或从直接支持公司收入流的系统开始，循序渐进。