高科技泡沫,房地产泡沫,所有人都在谈论着泡沫;想要来点新鲜的么?看看IT安全预算的泡沫吧:他已经破了。
上一个十年,每个财政年度的IT安全预算都是以30%甚至更高的比例在增长。这种情况持续了很久,因为企业高层认为这很重要,而且经济的发展也足以承担。然而,就像其他牵涉金钱的领域一样,有人开始思考一些正确的问题了。伴随着全球经济衰退,这个问题到来的越来越迅速,也越来越清晰。
简单来说,我们已经知道:企业无法继续负荷IT安全维护方面的支出。这与大幅削减用于员工,承包商,合同,和新项目预算等各方面的支出一样明显。CIO们必须向家庭妇女一样把一分钱掰成6瓣得去做预算了。当被问及IT安全支出的预期时,一位经理这样说:“我就像个卖鞋的皮匠一样缺钱,怎么可能再去负担一个如此荒谬的IT安全成本?”
即使是最大型的商业组织也被这个问题所困扰,一个CEO说道:“所有的员工都需要明白一点:从现在开始,我们都是一些随时可以被替换的东西。”
在得到必要保护后, BILL(某金融服务公司CIO)讲述了他的预估:“我们面临着来自预算的巨大压力。虽然近几年这些花费因为处理了许多重大风险而逐渐变得物有所值,但是我们已经无力承载传统型IT安全服务沉重的金钱支出,而这就是我们的现状。”
因此当被问及有效削减的具体计划时,BILL是这样说的: “作为一个组织,我们发现传统的IT服务所消耗的金钱是无法削减的,无论哪个方面都是如此,比如内部邮件等核心服务,一切支出都是出于安全需求和法规要求。我们一直在期待某个SaaS(软件即服务)供应商可以来帮我们砍掉近一半的维护邮件系统和桌面软件运行的开支;也期待一个云服务商能够同时满足法规约束,URL过滤和业务安全三个目标,而这往往也意味着不低于甚至高于现在已有的负荷程度;但如果我们不这么做,安全预算的缺口将会把整条船拉进冰冷的绝境之下。”
他随即补充道:“据我所知,IT服务商的‘补救工作’简直就是无本生意,而新技术又总是让他们愈发投机取巧——但是IT预算做的油水十足的日子一去不复返了;整个IT产业日新月异,相关直属部门将持续减少,商业化程度将持续提高,这当然也包括IT安全领域。安全工程师将来都会被转化为会计或者商务人员,我们也会把许多技术/业务安全方面工作转包给SaaS或者其他类似的供应商。我们甚至希望由内网私有云来进一步压缩安全开支以及提高开发周期效率。所有东西都摆在桌面上了,等到尘埃落定,我敢打赌安全预算和安全进程将得到新生。”
“这场赌博的大头,比如微软,已经开始为那些用自身人力资源管理基础设施的企业在云计算中提供传统服务项目了。”
一位微软的部门主管声称:Windows Intune(云工具)是为那些拥有超过500台PC,又希望只要寥寥数人就可以对其进行管理的公司开发的。
在当今IT安全的震荡中成功转型是必要的,但是一旦基础组件与飞速前进的必须条件脱节,其结果将无法想象。在云产品的世界中,这些条件还隐藏在各企业基本需求的差异背后,在BILL所描绘的背景下,即使各类产品尚不能于众多企业不同的需求同步,也坚持盲目的转型,其后果会是什么?
最近迈克菲(McAfee)的一项调查发现:仍然有近四分之三的中小企业(Small and Medium Business,SMBs)对来年的安全预算进行了压缩甚至冻结——尽管其中超过七成的管理者认为只要一次严重的打击就会使他们无法经营。预算的削减以及员工相关知识的匮乏意味着这些企业将被扔到一个恐怖的大漩涡当中。松散的组织往往不能在必要领域取得所需的安全知识,或者不愿支付相关费用,最终将在IT安全之路上走入歧途。
支付预算的压力,不支付预算的危机,我们必然会在这一切重新得到控制之前,发现更多的违约案件,更大的经济损失。但是未来并非一片灰暗。
从目前的条件来看,云服务必将更快的成熟,就像分娩前的必然阵痛一样,你会发现在允许范围内的IT安全服务,随着更多的经济效率,将提供更大的成效;这意味着在未来即使是夫妻店这样的小铺面也能够第一时间解决自己的IT安全预算。给这些种子足够的发育时间,我们会看到更优秀的IT防护林矗立起来。
(原文:The Unsustainable IT Data Center Security Budget)
