Czy możesz zmniejszyć bezpieczeństwo informacji w trudnych czasach i przetrwać?

Chociaż niektórzy analitycy rzeczywiście spodziewają się, że wydatki na bezpieczeństwo wzrosną w tym roku - przynajmniej jako procent całkowitych wydatków na IT - niektórzy CIO poważnie zastanawiają się nad tym, co kiedyś było nie do pomyślenia przycinania budżetów bezpieczeństwa, ponieważ firmy starają się obniżyć koszty podczas tej globalnej recesji.

"Prawie na pewno ludzie doświadczają cięć", mówi Pete Lindstrom, analityk w firmie badawczej Spire Security. "Jeśli myślisz o bezpieczeństwie jako centrum kosztów w centrum kosztów [IT], … bezpieczeństwo to świetne miejsce do rozpoczęcia", dodaje. "Istnieją firmy, które dyskontują swoje zabezpieczenia w celu zwiększenia zysków" - mówi Charlie Meister, dyrektor wykonawczy Instytutu Ochrony Krytycznej Infrastruktury Informacyjnej Uniwersytetu Południowej Kalifornii. "W ciągu ostatnich sześciu miesięcy widziałem dość znaczącą redukcję", mówi Rich Cummings, dyrektor ds. Technicznych w HBGary, firmie ochroniarskiej, która ma klientów z branży usług finansowych.

[Próbuje zmniejszyć koszty IT? InfoWorld ujawnia 7 prostych pomysłów, które mogłeś przeoczyć.]

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Ryzyko ograniczenia bezpieczeństwa jest takie, że naruszenie bezpieczeństwa może być katastrofalne. Instytut Ponemon przypisuje średni koszt naruszenia danych na poziomie 6,7 miliona USD.

Ale nie masz wyboru, jeśli nie ma tam pieniędzy. Eksperci twierdzą, że firmy, które wykonały ciężką pracę, naprawdę rozumiejąc swoją postawę ryzyka, mogą ograniczyć wydatki bez zwiększania ryzyka. Firmy, które poważnie podchodziły do ​​kwestii bezpieczeństwa, mogą być równie inteligentne, jeśli chodzi o redukcję kosztów bezpieczeństwa - mówi Meister z USC. Niestety, zauważa, firmy, które są na tym stanowisku, są wyjątkowe: "Nie sądzę, że wystarczająco dużo firm wykonało świetną robotę w zarządzaniu profilem ryzyka i tak naprawdę tak się nie dzieje, dopóki ktoś nie straci laptopa. "

A więc jak bezpiecznie obniżyć bezpieczeństwo?

Jedną z metod jest uzyskanie informacji o bezpieczeństwie z bezpłatnych projektów, takich jak projekt Shadowserver, zamiast płacenia za informacje, mówi Cummings.

Narzędzia open source zachowaj bezpieczeństwo, koszty wykończenia Korzystanie z oprogramowania typu open source może być także doskonałym miejscem do obniżenia kosztów ochrony - zwłaszcza dla małych i średnich firm - mówi Lindstrom Spire. Pozwalają firmom uzyskać ekwiwalentne narzędzia bezpieczeństwa za mniejsze pieniądze. "Jeśli produkt jest wystarczająco skomercjalizowany, a Twoi ludzie są wystarczająco dobrzy, na tym etapie gry nie jest rozsądne rozważanie zastosowania aplikacji open source", mówi.

Na przykład oprogramowanie antywirusowe ClamAV i system wykrywania włamań Snort są dwoma szeroko stosowanymi produktami antywirusowymi o otwartym kodzie źródłowym, podobnie jak oprogramowanie do zarządzania zdarzeniami bezpieczeństwa Open Source Security Management.

Firmy, które nie mają pieniędzy na pełne szyfrowanie dysku, mogą chcieć spojrzeć na TrueCrypt, inne otwarte projekt źródłowy. Ponieważ nie posiada scentralizowanych możliwości zarządzania, TrueCrypt "nie będzie odpowiedni dla każdego środowiska", mówi Morey Straus, oficer bezpieczeństwa informacji z New Hampshire Higher Education Assistance Foundation, ale to działa dla niektórych.

Bezpieczeństwo Outsourcing do chmura W przypadku organizacji finansowych, przenoszenie procesów bezpieczeństwa z domu może być oszczędne. "Spójrz na usługi przetwarzania w chmurze, aby zastąpić niektóre [produkty bezpieczeństwa]" - zaleca Straus.

Według raportu Forrester Research 28 procent firm, które przenoszą się do usług bezpieczeństwa zarządzanych w chmurze, obniża koszty. Mimo że e-mail i filtrowanie stron internetowych są obecnie najpopularniejszymi zarządzanymi usługami bezpieczeństwa, Forrester projektuje, że więcej firm przeniesie się do chmury w celu oceny podatności na zagrożenia i monitorowania zdarzeń.

Korzystanie z potencjału umysłowego zamiast kupowania narzędzi

Ale dla firm, które chcą poprawić swoją postawę bezpieczeństwa bez wydawania pieniędzy, czas poświęcony na promocję programu podnoszenia świadomości w zakresie bezpieczeństwa informacji może spłacić wielki czas, jak twierdzi Straus. "To jedna z najłatwiejszych, najskuteczniejszych rzeczy, które możesz zrobić, a kosztuje bardzo niewiele."

Straus mówi, że zrobił to w dwóch etapach w swojej organizacji, dostawcy pożyczki studenckiej. Najpierw zaczął masową prezentację przedstawiającą dobre praktyki bezpieczeństwa dla swoich użytkowników. Następnie kontynuował spotkania departamentalne, które opisał jako bardziej dwustronną dyskusję. "Mogę skłonić pracowników do podzielenia się z nami niektórymi zagrożeniami i możliwymi pułapkami" - powiedział. "Te spotkania są bardzo korzystne."

Analitycy twierdzą, że ograniczenie ręcznych procesów jest jednym ze sposobów, w jaki inteligentne firmy mogą obniżyć koszty i ponownie skoncentrować zasoby pracowników.

Na szczęście wiele sklepów IT nie jest zmuszanych do podejmowania trudnych decyzji tylko o tym, gdzie obniżyć wydatki na bezpieczeństwo. Forrester Research twierdzi, że w tym roku bezpieczeństwo wzrośnie o nieco większy odsetek budżetu IT - średnio 12,6 procent wszystkich wydatków na IT, w porównaniu do 11,7 procent w 2008 roku. Ale ponieważ oczekuje się, że budżety IT spadną o 3,1 procent w 2009 r., duży skok w kategoriach względnych.