雇不起安全人才的现实
中小企业的经营者们,恐怕都曾为此头疼过吧。“客户要求我们取得ISMS认证”“被要求提交安全对策文件”——这样的声音不绝于耳。
然而,有能力雇佣专业安全人才的中小企业只是极少数。对于年销售额数亿日元的企业来说,以年薪800万~1000万日元(约40万~50万元)雇佣正式员工,负担实在太重。
据ZDNET Japan报道,月费15万日元(约7500元)即可使用的SOC(安全运营中心)服务正备受关注。其思路是通过外包安全监控,在不雇佣专业人才的情况下,确保一定水平的安全保障。
这里的关键在于“可逆经营”的视角。每月15万日元的投资,与雇佣正式员工相比,可逆性极高。解约即可终止,解约成本也很低。这正是一种“决策可恢复”的设计。
“不让交易中断”的现实解
文章标题中出现了“不让交易中断的经营判断”这一表述,可谓一语中的。
对于中小企业而言,安全对策的优先顺序中,“满足客户要求”往往比“100%防止攻击”更为靠前。因为一旦失去交易,业务本身便难以为继。
我曾协助过的一家制造业客户,被大客户要求提交“网络安全对策实施情况”。这家公司只有30名员工,连专职的IT人员都没有。社长愁眉不展地问:“到底该怎么办?”
于是,我建议他们引入按月付费的安全监控服务。初期费用可控,合同期限也可按年更新。社长放心地决定:“这样就算不合适,也能回头。”
这个案例说明了一个事实:经营决策的可逆性降低了决策的门槛。如果只有“以正式员工雇佣安全人才”这一选项,社长恐怕会一直拖延下去。
规避固化风险
一旦雇佣正式员工,就很难回头。即使一年后发现“果然不合适”,解雇也并非易事。不仅有法律风险,心理负担也很沉重。
相比之下,每月15万日元的SOC服务,只要不续约就结束了。如果性价比不合适,还可以切换到其他服务。这种“可回旋的余地”,对中小企业经营者来说,正是最大的安心保障。
正如编辑方针的三条基本原理所言,“优先观测而非固化”的态度在此得以体现。先以每月15万日元的服务开始运营,观测实际情况。如果判断需要更高级的对策,届时再考虑追加投资即可。
从趋势科技的组织重组中学习
同样由东洋经济在线报道的趋势科技的组织重组,也象征着安全行业的变化。这家老牌安全企业为了在AI时代生存,正在推进接班人培养和组织重组。
趋势科技这样的大企业与中小企业情况不同。但共通之处在于“安全对策的形态正在改变”。
过去,“自己培养人才”是确保安全人才的理所当然之举,但如今,“通过外部服务来补充”已成为现实选择。趋势科技被迫进行组织重组的背景,正是这一趋势。
对中小企业经营者来说,这一变化是顺风。即使公司内部不养人,也能在需要时使用外部专业服务。这正是“可逆经营”的理想形态。
规避让决策无法回头的三大元凶
让我们将编辑方针中指出的“让决策无法回头的三大元凶”套用到安全对策上。
第一是“将角色和期望固化在人身上”。如果以正式员工雇佣安全负责人,就会对其寄予过高期望,即使成果不佳也难以轻易更换。
第二是“通过合同或制度模糊责任”。引入外部服务时,如果不仔细确认合同内容,关键时刻责任归属就会变得模糊。
第三是“在不掌握实际情况的情况下推进”。先从小处着手,观测实际情况。做到这一点,就不会酿成大错。
作为可逆经营的SOC活用
每月15万日元的SOC服务,正是“可逆经营”的具体案例。如何活用这一服务,整理几个要点。
设定评估期
在签约前就决定“三个月后评估”。将监控精度、响应速度、成本感受这三项设为评估标准。三个月后若不满意,换用其他服务即可。
明确应观测的要点
事先决定要观测什么。例如,“每月发生多少次警报”“其中实际需要处理的有多少件”“从事件发生到通知的时间有多长”等。
收集这些数据,就能将服务的实际情况可视化。掌握了实际情况,后续决策也更容易。
事先决定失败时的退路
万一SOC服务未达预期,该如何退出?是切换到更便宜的服务,还是由公司内部仅采取最低限度的对策?事先设定好退出条件,能减轻心理负担。
对中小企业经营者的建议
安全对策是一个“不采取行动就会失去交易”的紧迫问题。但即便如此,也无需勉强雇佣人才或引入昂贵的系统。
遵循“可逆经营”的思路,先从小处着手,观测实际情况,再根据需要扩大规模。遵循这一顺序,就不会酿成大错。
每月15万日元的SOC服务,作为第一步已足够有价值。如果不合适,停止合约即可。仅此而已。
经营判断没有“正确答案”。但可以保留“可回旋的余地”。这份余地,正是保护中小企业经营者的最大武器。
评论