Lehet vágni az informatikai biztonságot a nehéz időkben és túlélni?

Noha egyes elemzők valójában arra számítanak, hogy az idén - a teljes informatikai kiadások százalékában kifejezve - a biztonsági kiadások emelkedése várhatóan egyes CIO-k komolyan gondolják az egyszer elképzelhetetlen ötletet hogy a vállalatok csökkentsék a költségeket a globális recesszió során.

"Szinte minden bizonnyal az emberek tapasztalják a vágásokat" - mondja Pete Lindstrom, a Spire Security kutató cégének elemzője. "Ha úgy gondolja a biztonságot, mint költségközpontot egy költségközpontban [IT], akkor a biztonság egy nagyszerű hely," - tette hozzá. "Vannak olyan cégek, amelyek csökkentik a biztonságukat annak érdekében, hogy az alsó sorban haladjanak" - mondja Charlie Meister, a Dél-Kaliforniai Egyetem Kritikus Információs Infrastruktúra-védelmi Intézetének ügyvezető igazgatója. "Az elmúlt hat hónapban jelentős mértékű csökkentést tapasztaltam" - mondja Rich Cummings, a pénzügyi szolgáltatási ágazat ügyfeleinek a HBGary-nél dolgozó biztonsági cég.

[Az IT költségek csökkentése? InfoWorld feltárja 7 könnyen elképzelhető ötletet.]

[További olvasnivalók: Hogyan távolítsuk el a rosszindulatú programokat Windows számítógépről]

A biztonság megsemmisítésének kockázata az, hogy a biztonság megsértése katasztrofális lehet. A Ponemon Intézet az adatszegés átlagos költségét 6,7 millió dollárra becsüli.

De nincs más választása, ha a pénz nincs ott. A szakértők azt mondják, hogy a vállalatok, amelyek keményen dolgoztak, hogy valóban megértsék a kockázatos testtartásukat, csökkenthetik a kiadásokat anélkül, hogy növelnék a kockázatot. És azok a vállalatok, amelyek komolyan veszik a biztonságot, ugyanolyan okosak lehetnek arról, hogyan csökkentik a biztonsági költségeiket, mondja a USC Meister. Sajnos, a vállalatok ebben a pozícióban kivételesek: "Nem hiszem, hogy elég cégnek sikerült nagy kockázatot kezelnie, és nem igazán fordul elő [addigra], amíg valaki elveszít egy laptopot. "

Tehát, hogyan vágja biztonságosan a biztonságot?

Az egyik módszer az, hogy a biztonsági intelligenciát ingyenes projektekből, például a Shadowserver projektből szerezzük be, nem pedig az információkért fizetnek, Cummings szerint. a biztonság, a költségek csökkentése

A nyílt forráskódú szoftverek használata nagyszerű hely lehet a biztonsági költségek csökkentésére - különösen a kis- és középvállalkozások számára - mondja Spire Lindstrom. A vállalatok kevesebb pénzt kapnak az ezzel egyenértékű biztonsági eszközökhöz. "Ha a termék eléggé komodizált és az ember elég képzett, akkor a játék ezen szakaszában nem ésszerűtlen a nyílt forráskódú alkalmazásokat figyelembe venni" - mondja. Például a ClamAV víruskereső szoftver és a Snort behatolásérzékelő rendszer két széles körben használt nyílt forráskódú vírusölő termék, valamint a nyílt forráskódú biztonsági információkezelő biztonsági eseménykezelő szoftver.

Azok a vállalatok, amelyeknek nincs pénze a teljes lemezes titkosításért, valószínűleg meg szeretnék nézni a TrueCryptet, egy másik nyitott forrásprojekt. Mivel nincs központi irányítási képessége, a TrueCrypt "nem minden környezet számára megfelelő" - mondja Morey Straus, a New Hampshirei Felsőoktatási Segítségnyújtási Alapítvány információbiztonsági tisztje, de néhányat dolgozik.

Outsourcing security to a felhő

A készpénzes szervezeteknél a biztonsági folyamatok kihelyezését biztosító pénzt takaríthat meg. "Nézd meg a cloud computing szolgáltatásokat néhány [biztonsági termék] helyett" - mondta a Straus ajánlja. A Forrester Research szerint a felhőben felügyelt biztonsági szolgáltatásokba költöző vállalatok 28 százaléka csökkentette a költségeket. Bár az e-mail és a webszűrés ma a legnépszerűbb felügyelt biztonsági szolgáltatások, a Forrester azt tervezi, hogy több vállalkozás át fog térni a felhőbe a sebezhetőség felmérésére és eseményfigyelésére.

Az agyi erő alkalmazása az eszközök vásárlása helyett

Azonban azoknak a vállalatoknak, amelyek javítani szeretnék biztonsági pozíciójukat anélkül, hogy pénzt költnének, az időbiztosítási program előmozdításának időtartama nagy időt tud fizetni, Straus szerint. "Ez csak az egyik legegyszerűbb, leghatékonyabb dolog, amit tehetsz, és nagyon keveset fizet." Straus szerint ez két fázisban történt a szervezetében, egy diákhitel-szolgáltató. Először egy tömeges bemutatóval kezdte, amely körvonalazta a felhasználók számára megfelelő biztonsági gyakorlatokat. Ezután tanszéki értekezleteket követett, amelyeket kétirányú tárgyalásként írtak le. "Meg tudom szerezni az alkalmazottakat, hogy osszanak velem néhány kockázattal és lehetséges buktatókkal" - mondta. "Azok az ülések nagyon jótékonyak."

Az elemzők szerint a manuális folyamatok csökkentése az egyik olyan módja annak, hogy az intelligens cégek csökkenthetik a költségeket és átcsoportosítsák a személyi erőforrásokat.

Szerencsére számos IT-üzlet nem kényszerül a kemény döntések meghozatalára még csak arról, hogy hova kell csökkenteni a biztonsági kiadásokat. A Forrester Research szerint a biztonság 2008-ban az informatikai költségvetés dollárainak valamivel nagyobb százalékát érheti el - átlagosan az összes informatikai kiadás 12,6% -a, szemben a 2008-as 11,7% -kal. Mivel azonban az IT költségvetése várhatóan 2009-ben 3,1% -ra csökken egy nagy ugrás relatív értelemben.