越来越多的中小企业正在转向可管理的安全服务以保护自己的网络、系统和信息。使用可管理的服务对于安全人员和资源都有限的中小企业来说是一个明智的策略。
　　
　　市场研究公司Forrester Research的副总裁Jonathan Penn说，可管理的安全服务是合适的和非常有吸引力的，因为中小企业面临着比以往任何时候都复杂的需求，包括遵守管理规定以及不断变化的IT动力，如移动性、外部协作、虚拟化和云计算等。

　　Penn说，在这次经济衰退发生之前就出现了一些总的趋势。这次经济衰退使人们更快地认识到许多安全任务的运营方面和技能对于中小企业没有战略意义。
　　
　　Forrester在2008年12月发表的一篇关于北美和欧洲中小企业安全状况的研究报告中称，可管理的安全服务将在中小企业中增长。推动增长的主要因素是技能的需求和节省成本。其它主要推动因素包括减少复杂性和需要连续不断的安全覆盖。
　　
　　可管理的安全服务
　　
　　中小企业采用可管理的安全服务是为了增加竞争优势和节省成本。在Forrester Research“2008-2009中小企业IT安全状况”报告中（调查人群为685名北美和欧洲中小企业IT安全外包和服务决策者。(百分比总数不是100%是因为凑整)），有一项关于“使用一个可管理的安全服务提供商的主要推动因素是什么?”的提问，受访者作出了如下回答，以及答案所占比例：
　　
　　·提高竞争优势(专业技能)，31%。
　　
　　·减少成本， 19%。
　　
　　·每周7天每天24小时覆盖率， 19%。
　　
　　·因为其它IT环境已经外包，5%。
　　
　　·不包含上述内容的其它答案，3%、
　　
　　已经部署可管理的安全服务的中小企业的IT和安全经理表示，成功主要取决于企业如何很好地选择合作伙伴以及根据不断发展的状况监管这个合作关系。下面是使用这种服务的中小企业的人员如何最佳地选择和治理管理的安全服务技巧。

　　不要不重视厂商选择
　　
　　与其它类型的外包努力一样，成功的关键是选择一个能够满足客户具体需求的正确的合作伙伴。有几十家公司提供可管理的安全服务。要找到一家合适的公司需要做一些工作。
　　
　　位于休士顿的Paymetric公司是为100人以下的企业提供企业资源规划系统的电子支付处理服务的提供商。这家公司在选择Cenzic公司的服务之前对管理的服务进行了广泛的评估，包括评估安全出版物刊登的评级报告和Gartner等市场研究公司的报告。
　　
　　Paymetric公司负责IT运营和安全的经理Genady Vishnevetsky说，Paymetric公司使用Cenzic的服务用于Web应用程序安全漏洞评估、网络监视、遵守管理规定的评估和入侵测试。这些功能都是Paymetric本身不能完成的。
　　
　　广泛的服务组合是Paymetric寻找合作伙伴的一个重要的特点。但是，Vishnevetsky说，重要的不是仅仅评估提供商提供哪一种服务和这些服务的成本。他说，要考察那个公司的资历;那个公司从事这个服务有多长时间以及它的业务模式是什么?如果这个提供商遇到了财务危机或者被其它公司收购，这对于重要的安全服务会有负面的影响。
　　
　　Vishnevetsky还考察了服务提供商的技术支持能力，给他们的技术支持部门打电话，装作一个客户或者潜在的客户看看他们如何回应电话。他说，我们做了长时间的谨慎的考察过程，我们的服务没有遇到大问题。

　　如果可行的话，使用一家安全服务提供商而不是多个厂商
　　
　　佛罗里达州Fort Lauderdale的Broward Bank of Commerce银行今年年初开始营业。该公司副总裁兼首席运营官Kimberly Scarlett说，有时候雇佣一个以上的专业厂商解决安全的不同方面的问题是最好的。但是，从长远看，拥有太多的合同会增加你的成本。
　　
　　这个银行有12名员工，没有正式的IT人员。该银行使用InfoSight公司的服务管理其网络和保证遵守法规。Scarlett雇佣InfoSight处理该银行的安全事务重要是因为她以前在其它银行工作的时候曾经使用过InfoSight的安全服务。InfoSight提供内容管理、电子邮件加密和遵守法规情况报告等服务。
　　
　　通过使用InfoSight的服务，Broward银行不用在雇佣人员监管遵守法规、管理防火墙、运行入侵检测系统和执行其它安全功能。采用这项服务，这个银行拥有一些专家不断监视其网络，这对于一家大部分业务都在互联网上实施的银行来说是绝对必要的。
　　
　　Scarlett说，我应该把一切事情都交给一家厂商。只有一个每年提供服务的合同的成本效率更高。她预计使用InfoSight公司提供的服务能够比使用多家公司提供的服务每年节省大约5万美元。

　　保证合同拥有能够满足企业需求的服务级协议
　　
　　Forrester Research的副总裁Penn说，客户应该把重点放在把结构化的厂商管理做法与强大的服务级协议结合起来以便处理质量的难题，并且还要有相关的奖惩措施。
　　
　　Penn称，中小企业应该把责任规定写入服务级协议和合同中，但是，不要指望把业务风险外包。责任最好是通过外包合同中承诺的服务级协议转移，引为双方的期待和没有达到目标的后果是在服务级协议中详细说明的。
　　
　　合同也可以用来通过具体的要求转移责任，如对员工实施背景检查。幸运的是，随着外包市场越来越有竞争力，外包商更愿意为自己的行动承担责任。
　　
　　不过，企业必须知道责任的话题可能是合同谈判中最容易产生争议的地方，要保证理解非计划的服务中断的反应和成本并且形成书面条款。
　　
　　位于佛罗里达州迈阿密海滩的西班牙语家庭娱乐公司Todobebe利用各种服务提供商处理安全、网络管理和其它事情。
　　
　　Todobebe首席技术官David Reckles说，在2008年，一场暴风雨摧毁了Todobebe的网络。由于这个服务中断被分类为“不可抗力因素”，Todobebe最后额外支出一笔费用恢复这个服务。这项服务的提供商收取恢复这项服务的费用。
　　
　　Reckles说，我们没有意识到需要额外支出费用的问题。企业也许不能避开这种风险。但是，企业在最终签署合同之前应该明确理解这个风险。

　　为了保证强大的安全，不要担心共享公司信息
　　
　　这也许是违背本能的，特别是对于小型私营企业来说更是如此。但是，最好向服务提供商提供许多有关现有的IT基础设施和正在使用的应用程序的细节。
　　
　　超市连锁店Pay Less Super Markets公司副总裁Alan Atwood说，当使用一个安全服务提供商的时候，你要尽可能详细地向他们提供有关你现有的系统和希望他们做出什么改变的信息。你在开始之前向他们提供的信息越详细，这个工作就越容易。
　　
　　有一个明确的退出战略
　　
　　安全和IT管理员必须认真评估服务合同，保证留有后路，以最大限度地减少风险。如果服务提供商不能满足公司预期或者不能提供承诺的功能，该公司有办法退出合同。
　　
　　Vishnevetsky说，你可以终止不能满足你的预期的服务。许多事情都会出错。例如，一个厂商不能提供预期的升级，或者升级没有提供承诺的功能。
　　
　　好的合同必须有一个退出合同的条款，防止一再违反服务级协议。服务交付是很复杂的，在销售周期之内很容易被稀释、曲解和故意误导。因此，违反服务交付的条款在合同中是非常重要的。