中小企业以其经营方式灵活、组织成本低廉、转移进退便捷等优势更能适应当今瞬息万变的市场和消费者追求个性化、潮流化的要求,因而在包括发达国家在内的世界各国的经济发展中,中小企业都有着举足轻重的地位,发挥着不可替代的作用。不同于企业雇员人数少、产权和经营权高度集中、产品服务种类单一、经营规模微小的微型企业,中小企业逐渐分化出具体的职能部门,人员结构日趋完善和复杂,关键技术和商业机密逐渐积累,随着产品线逐渐丰富,经营规模不断扩大,中小企业在向大型企业迈进。而不同于完全流程化、规范化、信息化的大型企业,中小企业中存在着各种各样的安全漏洞,相比微型企业,也存在着较为明显的信任危机。而这些安全漏洞和信任危机,就是中小企业中安全管理人员需要关注和改进的。
中小企业安全管理的岗位职责主要在于监控并及时发现安全隐患,并尽早采取有效措施。从企业安防到设备管理,从网络管理到权限控制,从文件管理到离职善后,可以说安全隐患无处不在。所谓“道高一尺,魔高一丈”,如果不采取一套可信的安全管理解决方案,而是简单的添加摄像头、上锁、设置密码、内外网隔离等方式只是“防君子,不防小人”。
假设某中小企业已购置了这样一套可信安全解决方案,那么对于安管人员,乃至整个公司是不是就可以高枕无忧了呢?答案是否定的。正如80/20定律中揭示的那样,一套软件或设备的功能往往只有其中的20%可以被有效利用,而被闲置和忽视的80%可能由于安管人员自身技能的不足或者重视程度不够,给企业安全带来了威胁。那么安管从业者一般需要哪些技能呢?
首先,需要较好的危机洞察力和意识。面对各种内外部威胁,无论是无心还是有意为之,安管人员需要及时发现潜在的威胁。根据破窗效应,如果不能第一时间对事态进行控制,那么大家将会采取无所谓的态度,听之任之,直至一发不可收拾。
其次,需要有良好的信息化管理水平。即对这样一套安全解决方案有整体的认识,对其流程和功能有较好的了解。一般方案提供商在实施后,会进行有效的培训和服务,确保安管人员能够达标。不是简单的操作软硬件,而是对一系列的操作发生的作用要有充分的理解。
再次,需要有较好的分析推理能力。安全解决方案提供了进行分析的具体数据,而安管人员需要根据这些数据进行推理演绎。比如网络流量监控中发现流量异常,比如登录授权发现大量密码尝试登录,比如日志中发现有异常操作等等。安管人员可以从入侵者或者泄密人员的角度进行思考,并针对性的进行防范。
最后,需要有较好的学习能力和自我提高意识。安全管理是一个很有挑战的行业,它可以包括门卫和网管,也涵盖着首席安全官(CSO)和首席信息安全官(CISO) ,甚至可以说中央情报局(CIA)也包含在内。安管人员在做好本职工作的同时,需要不断的学习,进行针对性的训练,否则岗位失职带来的损失难以估量。