压缩IT安全预算的潜在风险对于多余企业而言都非常巨大,但是在目前严峻的经济形势下企业希望能有更具创新意义的安全举措出炉。企业都在考虑如何在保证安全的前提下节约成本。经济现状的不稳定性让企业在制定安全预算时更加注重以小博大,量入为出。
那么这些企业又该如何行事呢?
对于多数企业来说和厂商重新进行磋商的同时,压缩预算也成为他们优先采取的应对措施。但是问题是如何在不牺牲安全保障的前提下节省大量的成本令一些IT专家头疼不已。
Media General的安全总监迈克.米勒采取的是后者。米勒想要对公司使用了三年之久的监控设施和相关设备进行更新换代,但是公司的预算压缩了将近50%,这导致他无法完成这项任务。另一方面,Media General的的经营运算保持稳定,1月中旬公司负责IT安全的员工也没有裁减。
米勒在目前的职位上已经有5年之久了,公司的安全重点也从常规的法律遵从转移到对木马和网络钓鱼的关注。米勒表示这是目前经济形势的需要,公司目前没有制定应用新技术的计划。这段时间,公司更加关注技术和系统的改进而不是应用新的配置。
分析师表示米勒的经历并非个案,不过目前业界的整体安全预算并没有出现大幅下滑。
Gartner咨询公司的分析师John Pescatore表示“在2008年第四季度,我们发现安全支出计划并没有缩水,2009年的头两周也是如此。不过我认为2009年第一季度的形势会比较严峻,目前的趋势是安全支出计划会有所推迟,到了第二季度情况会有所好转。举例来说,升级防火墙或者入侵防御系统可能会推迟几个月,但不会产生太大影响”。
Gartner公司对首席信息官所做的10大优先技术的市场调研中,安全问题位列第八位。其中居于首位的是商业智能。
其他的一些研究显示,安全投入与过去相比在IT预算中所占的比例更大。举例来说,根据Forrester Research名为“2008年到2009年企业IT安全现状”的市场调研报告显示,安全投入在2007年企业IT预算中所占的比例为7.2%,到2009年所占比例增长为12.6%。
这份研究报告对不同规模的942家北美地区和欧洲市场的企业进行了调研。报告中将数据安全列在IT安全预算的首位,有68%的受访者认为数据安全“非常重要”。有51%的受访者表示业务的可持续性和灾难恢复“非常重要”。
Forrester研究公司的分析师乔纳森.佩尼强调说,大型企业在IT安全方面的投入最大,这是根据IT预算的比例来衡量的。这些企业在安全员工方面的投入比例巨大,为了弥补这一差距,他们都放缓或者推迟了安全技术的升级。
佩尼表示“确实有部分企业压缩了IT安全预算,许多企业在极端艰难的经济气候下面临巨大的资金压力,被迫推迟了新产品的推出。从整体来说,IT预算的增长趋势虽然有所放缓但并没有下滑。无论是中小型企业还是大型企业,IT安全预算都在整个IT预算中占据较大的比例。换句话说,IT安全投入总体而言比IT预算下降的要慢”。
乔治.李确是这种形势下的幸运儿,他是Leading Hotels of the World的IT总监,这家企业在全球范围内拥有450家旅馆。象其他的IT管理者一样,他们的整体预算也有所压缩,培训和差旅预算首当其冲。不过公司还是在2008年对网络基础架构进行了重新配置,购置了全新的思科系统防火墙,交换机并实行了其他的升级计划。
乔治表示“我非常幸运的是在2008年能够配置安全系统。如果我也碰到了同样的问题,我会竭尽全力来保障公司网络的安全,或者争取资金来确保数据不受外界风险的入侵”。
安全提供商Finjan的首席技术官Yuval Ben-Itzhak表示,他希望能看到IT专业人员能充分利用每笔支出。“首席信息官应该将支出的每一分钱发挥更大的价值。在有限的安全资源前提下寻求更加简单易行解决方案来简化管理”。
Purdue大学的首席信息安全官Scott Ksander也持同样的观点,他认为在目前严峻的经济形势下必须采取更具创新意义的解决方案。
“我们与厂商结成了非常成功的战略合作伙伴关系,关注我们想要达成的结果”Ksander表示。
首先他们与Q1 Labs谈判来推迟学校规划当中的日志管理项目。根据Ksander的介绍,学校每天会产生10GB到20GB的的日志流量,配置适当的工具来关联和组织日志数据是非常必要的。
在这项计划参与投标时学校收到了部分超出预算的反馈,于是学校和Q1 Labs谈判来研究计划的可行性。Ksander表示“我们终止了与厂商合作的某些研发项目。他们给了我们一些资金支持,这样我们就可以重新部署这些计划。我确实无法提供具体节约的金额,因为这不是可以相提并论的问题。不过节约支出是非常重要的”。
Ksander还介绍说,合同谈判的过程从11月初开始,1月结束,产品方面的工作在推出后还会继续。Ksander强调说“这绝对值得一做”。