如何外包安全管理项目[2]

　　Assurance.com.au的合作伙伴，澳大利亚的邮件安全性渗透测试人员NealWise也持有相同看法。他认为，考虑到工作量和人工成本，让其它人来负责你的安全性是很有吸引力的。“由于聘用全职的高级安全人员非常昂贵，因此选择安全管理服务提供商会带来明显的成本下降，而且企业会得到随时的服务，这在攻击频繁发生的网络环境中，是最受企业欢迎的。”他还说：“但是企业的领导者必须正确的管理好安全关系，保证除了你之外没有没别人能够干预其中。”

　　Wise表示，在持续不断的安全补丁升级以及可见的Web应用中实现更高的安全性，可以大大加强这种安全管理服务对企业的吸引力。“Web应用是最容易受攻击的对象，很多企业对此都非常重视。如果有人打算闯入某个系统，那么不管安全管理作的多么到位，他们还是有可能闯入的。而安全管理服务则会在最短的时间内对这种入侵作出反应。”

　　墨尔本的MSSP公司DimensionData，客户遍及欧洲、美国和南非。该公司的本土安全经理NeilCampbell对各个地区的客户情况进行总结认为，成本是客户选择外部安全管理的一个重要原因。他说，“我们的大多数客户都没有足够的资源独立完成企业的安全管理，成本是他们选择外部安全管理的一个原因。但是也有很多人很乐于将自己的安全风险问题全部移交给另一个公司来管理。很多企业发现他们自身根本没有能力完全应付企业的安全问题，尤其是中小企业。”

　　交付控制权

　　但是企业该在什么时候投奔安全管理公司呢?Frost&Sullivan的Turner认为“企业在对自己的安全风险进行评估后，如果认为风险带来的损失要大于安全服务公司的报价时，或者大于企业自身管理这些安全风险所付出的成本，就可以考虑寻求安全管理服务供应商的帮助了。”

　　他还说，“如果你的企业业务需要24x7的互连网连接，那么你要么雇佣24x7的安全管理员，要么就选择MSSP。因为MSSP可以提供相当好的网络安全，同时价格要比企业自己实施同级别的安全措施要便宜很多。这是由于MSSP在安全方面更专业，而且由于规模效应，MSSP可以将实施成本降到很低的水平。”

　　总的来说，安全管理服务正在被越来越多的企业所接受，但是不可靠的服务供应商仍然存在，并且在一定程度上制约这类服务的发展。

　　这些在不可靠的安全管理服务供应商，被称为业界的牛仔。很多企业和这些没有足够信用的供应商签定合同后几个月，才发现安全维护并没有达到预先约定的水平，或者这些供应商已经濒临破产，根本无力再履行合同，令企业为此蒙受巨大损失。

　　NetworkBox是一家MSSP，该公司的AndrewTune表示，由于大多数用户对这个行业仍然持有怀疑态度，因此很多可信的供应商仍在与用户的这种心理做着艰苦的斗争。

　　AndrewTune提到了一些企业客户，它们断开了与服务供应商的连接，但是供应商竟然全然不知。“这个客户打电话告诉服务供应商，它已经不再受服务商的安全控制了。但是服务商竟然还说，它仍然在监控用户的网络。这个服务商根本就没有注意到自己已经跟客户的网络断开了。”

　　Tune认为这并不是一个独特的案例，企业在选择安全服务供应商时，或者正在实施类似项目时，都应该对此有所警惕。这些负面的案例会影响用户的信心，但是如果找对了供应商，用户完全没有必要再为自己企业的网络安全担心了。

　　“企业担心会失去控制权，这实际是一种心理作用。而企业的IT员工也担心我们会砸了他们的饭碗，这更不可能发生”Tune说。

　　“实际上我们会让企业的IT员工看上去和英雄一样，他们会说‘看，我们选择了多么好的项目，它为公司节约了开支，并实现了快速的部署。’”悉尼的PureHacking公司为多家财务公司提供安全检测服务。他们见到过很多公司应用不同的安全管理措施，有好的也有效果不佳的。他们认为，选择一个安全管理服务供应商首先应该确保该供应商可以满足企业的直接需要，此外，该供应商最好对全部领域都精通。

　　PureHacking主管RobMcAdam说：“这是一个特别的工作，你需要与那些真正只关心安全问题的人一起工作。我的格言是：如果你认为你必须用个正方形的钉那么实际上就必须只用正方形的钉。”