如何利用经济萧条改善企业安全状况

DoSECU 安全分析 3月26日消息:目前严峻的经济形势是我们必须面对的现实。对于安全领域的厂商来说,萧条的经济对他们的伤害比多数其他领域都来的猛烈。不仅资金预算像其他领域一样不断被压缩,而且在资金困顿的同时,整体风险也在同步上升。

事实是:安全的预算压缩意味着我们在关键升级和解决已知漏洞的项目支出减少,用于维持现状的运营预算也大幅缩水。不过还有更加危险的影响在后面。

安全领域并非唯一感到经济寒流的领域,其他领域也同样遭遇捉襟见肘的困境。其他领域的投入减少意味着存在问题的遗留系统使用周期被迫延长,安全领域之外可能发生的维护预算压缩。更糟糕的情况是压缩支出可能会转化为裁员。因此企业宁愿去削减安全投入,而不是大刀阔斧的裁掉一名值得信赖的员工。

这里你就看到了问题。经济状况的兴衰会对企业产生无形的外部压力;特别是在经济衰退期间,经济会成为导致攻击增长的诱因。因此我们解决内部问题的同时,还要应对日益增长的木马程序和欺诈行为的入侵(比如网络钓鱼和帐户被窃)。

这听起来很残酷,但是不管你相信与否,现实还存在潜在的转机。也许很难被发现,但是安全领域确实能从萧条的经济中受益。换句话说,经济下行对安全有不利的因素,但也有可以受益的方面,我们必须去了解如何找到优势所在,如何对其进行投资。

寻找机遇

首先我们在前文已经提到,萧条的经济意味着多数企业的技术投资会整体缩水。安全投入的压缩也是显而易见的(尤其是目前的遗留应用软件使用周期被迫延长,证明安全这种支出大头就显得更加困难),但也有潜在的上升趋势。即新项目的投资减少释放了大量原先会被全部占用的特定资源。

从宏观上看,这个方程很简单:将安全企业特定部门的工作与业务进行结合。因此当业务下滑时,经济低迷之前满负载的资源就会被释放出来,这些员工的工作负载也会松弛下来。由于替换这些资源的成本很高,可能企业为了节约成本会调整员工的级别来满足短期需求的变化。

因此会发生什么呢?这些员工就有时间去从事在正常经济时期没时间去做的工作。这是件好事。

举例来说,先考虑到应用软件的安全性,在经济繁荣时期,当企业发展处于高速状态,应用软件和系统更新换代的速度也比较快,某些部门的员工通常都是满负荷工作的。他们要忙于监控研发出来的最新应用软件,还要忙于体系架构维护和研发会议,同时还要紧跟现有应用软件发展的步伐。但是如果研发过程放缓了呢?这就意味着应用软件的更新换代减少,现有软件的变化减少。因此,应用软件安全工作负载也随着下降。

项目管理也同样如此。在一家大型企业有专人负责与安全相关的各种项目管理资源,企业合作伙伴业务量的减少意味着这些安全人员管理的项目数量的缩减。同时也意味着他们的工作量不再饱和。目前有大量类似的例子存在。基本上说,任何被企业支出所驱动的安全业务都有所减少。这对于长期投资就意味着机会;从战略角度考虑,采用更好的方法,提前规划和研发工具帮助他们处理那些在业务频繁时期无暇顾及的工作。

现在的投资非常适宜转化为更加高效的工作流程,一旦企业开始回到过去快速发展的轨道,这些得到提高的员工就能更好的担当起未来的工作任务。这些改进的具体表现取决与不同的领域,但是目前可能是为企业设定目标的好时机。

开始培训

其次,经济低迷谁对安全员工进行培训的最佳时机。某些人错误的认为培训投资在经济不景气时期不是个好主意。而事实上,企业的眼光应该更长远一些。确实在目前的经济气候下要证明培训的价值面临挑战,但是你会发现在这个时期的培训投入与繁荣时期的投资相比能带来更多的回报。

为什么?有几个原因。首先,许多专门从事培训业务的机构为了拉业务会以折扣价格提供服务。因此目前对员工进行培训更加经济划算。虽然从培训机构节省的费用只是杯水车薪。但真正实现的节约会从后端得到体现。

用这种方式考虑–我们之前提到多数员工因为企业业务量减少,工作负载会有所减轻。也会产生培训后端的机会成本-即员工在进行培训的时候没有去完成的工作。

在经济繁荣时期,由于没有用来推进业务发展而花费的所有时间就是你必须从别处进行弥补,因此培训的机会成本很高。但是如果企业没有那么多需要特定资源的工作呢?那么机会成本就会降下来。无论你是进行计算机培训,面对面的培训,行业研讨会甚至是企业内部的交叉培训都适用于此。从现在开始进行培训是个好主意。

不过千万不要低估此时对员工进行投入所产生的良好效应。由于无论走到哪里人们都在讨论经济的不景气,因此员工会担心他们的工作,这也是人之常情。如果此时企业不裁员,而是进行培训投入就会向员工传递一个清晰的讯号–毕竟如果你下周会解雇他们又怎么会要对员工进行培训呢?这样做能鼓舞员工的士气,防止流言的产生。

所以从现在开始,目前培训也是前所未有的便宜–由于它所传递的良好讯号,影响力也会无限扩大。因此为什么不做呢?