無論你走到哪裏,願聖帕特裏克守護你,無論你做什麽,願聖帕特裏克引導你,願他慈愛的保護是對你永遠的祝福。
——愛爾蘭祝福詞
在全球範圍內保護人員和資產的安全,很多方麵就像在納什維爾、迪比克、紐約市或舊金山保護他們一樣。而且,在很多方麵,它與在巴黎執行任務毫不相同,與在撒哈拉沙漠野外作戰截然不同。
例如,有些國家的安全管理和私營保安的概念過於寬泛,或者不是很完善。而在另一些國家,如德國、英國(有人認為現代治安和安全概念就是起源於英國)還有西班牙,安全保衛是一個備受尊敬的行當和專業。在那些需要武裝安全保衛人員的地區(如伊拉克或阿富汗),從人員、建築物,到財產和物資可能都需要你去保護。
正如之前我已經討論過的,保護行動包括兩個方麵:危機管理的準備和應對,但此處我將著重探討保護人員與資產的實際安全方麵。保護行動就是要防止壞事發生,這也可能是事先檢測出壞事,防患於未然。我此處要談的是發現和化解高危的監視。
保護行動也許可稱為緩解或采取反製措施。正如前麵第三章提到的那樣,所謂風險就是在你確認了威脅並應用了對策之後仍然存在的東西。而這個仍然存在的風險就是一些公司不願投標伊拉克和阿富汗合同項目的顧慮,結果讓我的一位雇主抓住契機提交了投標書和提案。前麵我已經討論過,在國際背景下從防護的角度上看,你的關注點分別會是保護你的人員和保護你的資產。如今,我們生活在一個信息時代,信息時代的資產還包含“信息”。
關於信息技術和安全保衛二者的關係,我要再多說一兩句:有些人堅持認為,信息技術的安全與物理安全(physical security)合而為一將是一個不可避免的,也是合乎邏輯的曆史進程。對這個觀點我完全不敢苟同。他們使用的是一個好聽的術語,叫“融合”,但對我而言,這雖是個巧妙的術語,卻是一個非常糟糕的想法,因為有安全專家和信息技術安全專家之分。我在物理安全保衛、谘詢和調查方麵擁有28年的工作經驗,我的客戶和雇主遍及各行各業,包括美國政府、財富1000強和財富500強企業。我擁有多個證書:有安全保衛方麵的(注冊安全保衛專業證書),也有反欺詐方麵的(注冊反欺詐審查員證書)。我在“通過環境設計來預防犯罪”方麵經驗豐富,並且還是這種方法的倡導者。就物理安全而言,像我這樣的專業人員,以及其他成千上萬的同行,都是美國行業安全國際協會和其他類似的專業安全組織的成員,不需要再“去學校”上物理安全方麵的課了。“物理安全保衛有什麽難的?”我常常會被這個想法,甚至有人大言不慚、直截了當地這麽宣稱而感到震懾。信息技術方麵的專業人士真的可以在諸如計算機房或其他重要區域周圍構建一個物理安全帶嗎?這到底是勢利還是愚昧呢?這和我們打官司是一個道理,在法庭上自辯,不如請律師替你辯護。我觀察過機械工程師、結構工程師、電氣工程師、甚至化學工程師,他們經常誤入物理安全保衛領域越俎代庖。我會這樣說:如果物理安全就像填個清單、勾選方框一樣簡單,而且所有這些專業團體中的人和所有信息專業人員都能夠擁有物理安全保衛的本領,那麽我就可以退休到加勒比海地區,按照我的個人休閑計劃,盡情享受美妙人生了。但是,物理安全遠沒有這麽簡單。注冊信息係統安全專家是我既尊重又欽佩的人,這是信息技術專業人員的安全證書,也許有人覺得他們的世界就是填填清單、搞搞審計和收集收集主觀數據,但我覺得它不是這麽簡單。我有很多從事信息技術工作的親朋好友,而且在涉及企業和政府安全方麵,我與信息技術專業人士一直相處得很好。但是,在萬不得已時,在信息技術安全保衛開始排擠物理安全保衛時,對不起,讓我直接借用滾石樂隊的歌詞對你說“嘿,你——從我的那片雲上下來!”