谈到把安全业务外包，今天的很多用户仍然是持怀疑态度。想想看，要把维护网络设备、监测网络攻击、执行网络扫描、收集企业员工的登录信息，或为他们更新安全软件等任务交给一家外国公司去做，这等于是在把企业网络安全的控制权拱手让出，这种安全外包的想法会引发争议当然是在情理之中的。

分歧

对于安全业务外包，安全经理们产生了分歧，他们在安全外包对企业来说究竟是有益还是有害的问题上争论不休。按照支持者的说法，安全业务外包为企业的IT部门提供了一个从繁重的日常工作中解脱出来的机会，可以让它们去处理更为重要的战略性事务。而反对者则担心这种外包可能会让企业失去对安全风险的战略洞察力。因为外包企业只会机械地履行合同，而不会从战略高度去考虑安全问题。虽然外包是否能够节约成本也是一个颇有争议的问题，但安全控制毕竟是争议最大的问题。

看好安全外包的人说，此举能够把企业本就短缺的安全专家们解放出来，去从事更为重要的战略性工作，不必再整天埋头于日常的安全事务。

在荷兰全球金融服务公司ING的北美分公司负责IT风险管理的Andre Gold说：“我们要么就得招募更多的企业IT人员，要么就得通过安全外包解放出所需要的人手。”

Gold认为，像补丁、漏洞管理或防病毒等任务会消耗大量的人力，而如果把这些人力用于实现在线业务目标的战略性风险管理运营，结果会更好。

“我宁愿赶着ING的人走上外包这条路，”Gold说。预计ING很快就会选择一家安全外包服务商——有可能是在印度或其他国家的离岸外包商，并签署一份规模广泛的、长期的合同，为它们处理各种数据安全以及网络安全远程管理。

“我将此称之为正向安全外包。”Gold说，其实ING早已将一些IT维护和应用开发任务外包了。因此，他也一直认为安全外包不会对企业带来文化冲击。Gold预计安全外包最终能够证明要比单纯增加企业人手更有成本效益。但他说，节约成本并非做是安全外包的主要原因。

全球化工巨头ICI的首席信息安全官Paul Simmonds则说，他更倾向于坚持让企业内部人员从事安全管理，因为“一旦出现了安全问题，外包商能理解这些问题对企业会产生什么影响吗？我认为不能。”不过另一方面，Simmods也指出，ICI从服务商Qualys、MessageLabs和ScanSafe那里获得了“安全作为服务”的好处。这几家服务商为其提供从漏洞扫描到反恶意软件入侵等多项业务。

但是安全外包还是引发了众多的反对意见。

“我倾向于反对安全外包。”咨询公司SystemExperts的总裁Jon Gossels说。SystemExperts专门为企业提供安全战略咨询，重点在于法规遵从方面。

Gossels认为，外包应当仅限于一些“彼此不相干的业务”，比如登录监控或渗透检测。“我从未看到过大规模外包能够正常运转的。安全是运营企业业务的保障，你每天对企业IT基础设施所做的任何决策都有可能影响到企业的业务，我根本看不出企业如何能将这么重要的事情外包出去。”

这种看法目前似乎仍然是主流的观点。

美国计算机安全协会（CSI）去年末曾对479位企业安全专家做过调查，想看看有多少企业已将多大比例的企业安全功能外包了出去。结果有61%受访者——来自各行各业，有金融、运输、零售、教育、电信和政府部门的回答都是“没有”。