DoSECU 安全分析 3月13日消息:随着金融危机席卷全球,IT预算开始维持在持平或下滑的状态,你可以预见到安全支出也将同样面临同样的压力。但是,对于CIO们来说,他们正在面对着越来越多的威胁(包括恶意软件和心怀不满的员工),这些都告诫企业需要提高警惕。
实际上,一些调查报告显示,尽管企业消减了整体的IT预算,但在2009年他们却正在增加安全方面的预算,技术负责人看到了,经济的不确定性可能会使安全问题在今年更加严重。
对于IT主管来说问题是一样的:无论企业是否陷入衰退,面对风险消减安全支出都是不值得的事情。
达美乐比萨的财务业绩就正在面临着不好的趋势,食客们越来越少,相比之下外卖生意还可以维持。其IT主管Jane Kimberlin先生说:"我们很幸运地找到了没有受到经济下滑影响的合适的销售模式。所以,我们目前还没有任何的预算限制打算。"
"说到这里,我并不认为我们以后也会消减安全支出。我经常与一些CIO朋友们聊天,他们也都说,他们没有这样的打算。"
同样,在管理咨询机构Ecotec公司一个公共部门工作的IT主管David Supple说,尽管目前经济环境不太好,"但总的来说,我们的IT安全预算没有下降多少。"
内部威胁猛于金融危机
因此,我们看到,IT安全预算基本上没有多大的变化,但是企业是否已经对未来将要面对的挑战做好了良好准备了?在过去的几年间,出现了一系列的数据破坏实例,公共区域笔记本、USB驱动和CD丢失的尴尬事件。但是,令人担心的是,这些问题在今天将被蓄意的数据盗窃行为所取代,一些遭到解雇的员工助长了IT安全所面临的内部威胁。
Butler集团高级研究分析师Alan Rodger说:"内部威胁是最严重的问题。随着员工的工作受到威胁,其中一些人将会在离开前利用最大的机会谋取利益。对于其他人来说,仅仅被告知他们将会被降薪就可能促使他们作出违反安全的行为。"
"近几年的相关分析报告都集中调查企业外部的安全威胁,但是,我认为今天企业需要花费更多的时间寻找企业内部威胁。"
Rodger的说法被最近Ponemon研究所的一项调查证实,该调查对过去12个月内失去或放弃自己工作的950个人进行了调查。调查发现,近6成的人在离开时带走了企业信息,如客户联系表。
面对威胁需要灵活
由于经济情况的每况愈下,企业管理者通常都会有一定的压力,这种压力导致他们变得处事更加灵活,并且消减支出:更贴近用户,更多地在家办公,减少在集中办公区域的日常开支。因此,企业数据一旦离开公司就很难做出严格的界限规定。
达美乐公司的Kimberlin说,"我的内部用户需要我的工作移动性更大,因此我们看到现在市场上一时间出现了很多可满足这种需求的设备。我不得在让IT服务更灵活和安全之间作出权衡,并且安全必须每次都赢得这次斗争。"
"但是我们看到,工作和个人生活的界限没有明确的划分界限。因此,如果我们的员工想要立刻使用社交网络,我们会在不违反安全规则的情况满足他们的工作需求。" 她继续说到。
Ecotec公司的Supple补充说:"员工有的时候需要在自己家中的非工作时间完成他们之前没有完成的工作,并且他们使用的设备也不是我们的。"Supple补充道:"这样一来,我们的安全就需要管理更多。"
所以,为了让工作更加灵活,确保进访问敏感企业数据的安全,身为一个IT管理者当面对这些相互冲突的压力时,应该怎么做呢,特别是在分配给他们的财力不够将安全维持在以往的水平的情况下?
诀窍就是,将钱重点用于最需要的地方。
Burton 分析师Rodger说:"多年来,大多数的IT安全项目都没有取得商业案例的资格,但是已经开始发生了改变。许多企业正意识到他们需要对风险进行评估,并且找到财务支出和破坏行为发生概率之间的平衡。"
"当你意识到了风险,以及金融危机如何影响风险的日益增多时,如果你还要以多种方式取消短期内的IT安全的预算,那么你面临的将是更严重的风险。"
