会员登录
会员注册
现在人们仍能感受得到一家安全厂商向美国国防部成功推销所带来的影响。那家不愿透露名称的厂商称:“那家安全厂商拿到了国防部的合同。随后,我们开始听到安装了该产品的国防部下属各部门抱怨‘哦,上帝!这个产品太差劲了;我们没法使用。’”
高层主管购买了安全软件包的公司确实省下了钱,而且省了不少钱。遗憾的是,它们拿到手的常常是“实际上达不到标准的安全产品;有时候这么做很危险,”那家厂商如是说。
但是如何让对安全软件包动了心的高层主管明白这一点呢?那就是趁钱还没有从高层主管的手里出去,让安全人员参与到决策过程。
这方面Bob Maley就很幸运――他公司在Maley进入之前就解决了问题。他在2005年年底担任宾夕法尼亚州首席信息安全官这个职位之前,宾州就已经开发了一套企业架构流程,这套流程仿照了美国全国州首席信息官协会的流程。如今这套流程运行已有四年多了,其中一部分就是一套明确的安全产品选择标准。
正如Maley所说的那样,州政府的其他一些部门可能拥有没有限制的资源去购买安全工具,而他部门不是这样。于是,他和所在部门学会了与同行积极合作――不仅仅通过NASCIO来合作,还通过州际信息共享和分析中心来合作。
按照MS-ISAC的规定,所有50个州都共享最佳实践。另外,这家组织最近还免费搭上了联邦政府的“聪明选购”采购计划;这项计划旨在运用联邦政府的强大购买力,通过综合采购来节省资金。
这个案例中适合于政府这个部门的方法同样于适合其他部门:与同行联络,了解一下对方使用及信任哪些安全工具,然后弄清楚避免购买哪些毫无价值的东西。
不过要是根本没法躲避购买安全软件包的高层主管,惟一的办法就是在早期阶段进行干预。这时候沟通是关键,但不是这样的沟通方式:安全员工说“我们必须使用某某产品,因为我之前说过这样。”确切地说,安全员工要把只有技术圈子听得懂的话转变成业务圈子也听得懂的话。
Alvaka Networks公司的McDonald忠告:“我建议,安全员工让用户接受自己的意见要人性化。共进午餐,向公司内部的同事学习。让普通员工和管理人员都参与进来,让他们明白为什么要选择你坚持选购的产品。”
McDonald表示,这可以帮助安全专业人士消除“你完全是绊脚石”这个障碍。他说:“你应该这样问雇员和管理人员‘好了,我已买好了上头要我去买的这些产品――比如用来保护PCI信息的安全、保护整个组织的资产,还做了政府要求的其他工作。如果你处在我这个位置,会怎么做?’”
这不是什么正规培训;实际上是大家碰个头,弄清楚如何处理手头的安全任务。
另外,安全行业也在忍受“纸老虎”之痛。那家不愿透露姓名的安全厂商称:“我们聘来的一些人拥有高学位,却完全如同白痴。虽然他们拥有学位和证书,却连组建网络都不会。他们懂得歌词,却不懂得怎么唱歌。”
Maley认同这一观点,他说:“这么多年来,许多人在到处混证书。他们可能拥有五六个头衔……坦率地说,证书行业有不少考试题库网站。一些人还没有什么实际经验,就拿到了证书。”
Maley表示,据他所知,招聘经理们看到那些头衔后觉得眼前一亮,对全面的审查工作也就随它去算了。他说,为了避免招进来的是纸老虎,雇主一定要查看简历,然后回过头去把工作经验与所持证书作一比对。