对于IT安全预算来说,绝对没有任何一种策略可以做到“放之四海皆准”。
各个公司都还没有从08年以来的低迷中复苏,资深分析师在研究Gartner公司预算时就一直在敦促IT经理就信息安全方面做出明确表态,尽量采用低成本甚至免费的解决方案来保护数据系统,而不是好像银行抢劫犯那样有多少拿多少。
“我们的目标,就是少花钱多办事;”Gartner的副总统经理Wheatman在公司的年度安全与风险管理峰会中介绍。 “至于‘安全预算如何配置’和‘安全策略如何组织’之间的关系,根本没人在乎”
在最近的一次对中小企业和大企业的CIO 进行的调查中,Gartner发现:经营者们今年准备拿出平均5%的IT预算用于安全策略,比2009年下降1个百分点。
总的来说,Gartner预计IT的开销将从去年急剧下降形势中略有反弹,但是相对于2008年的公司总预算仍然会维持一个较低的百分比
Wheatman指出,针对安全的预算支出可能很难从传统商业的角度证明其效果,毕竟现金短缺的CFO们不愿强迫向某些项目支出资金,尤其这些项目的价值无法在传统概念中被量化。
“除少数例外情况,它不是一个明确的回报,”Wheatman说, “但是他确实是为了做生意而不得不支出的成本。”
但是Wheatman推荐了几种方法,可以使得安全预算被调整到一个可接受的程度,如果你的预算总是无法被CFO所接受。
“利用免费的东西,”Wheatman说,“就是那些预先安装在操作系统和硬件特别是网络设备中的安防组件,如路由器等。即使这些功能并不总是满足企业的期望,他们至少也能提供起码的安全水平,让IT部门的核心来建立自己的防御体系。”
“给他们一个证明自己的机会”Wheatman如此建议。
Gartner公司作为一个跨文化产业公司的优秀IT业者,也是一个灌输安全理念的有力宣传者,保守顽固的反驳言论一般会被其视为是任何新技术推广中的一个重要组成。该公司预计:如果企业可以按照功能设计的思路来部署安全系统。而不是陷入一个找漏洞–打补丁的重复循环,那么预算将获得平均百分之三十的节约,
Wheatman也鼓励他安全管理业务方面的下属重新权衡一些外包业务带来的利益与问题。
“这不是逃避责任,”Wheatman说,“否则你还必须处理承包商商所带来的各种后续问题。”
但是那些专注于一个特定的安全策略的外包公司,常常有一个更清晰的远景看法,能够更好地预测新出现的威胁,这要归功于他们同时处理多个客户端类似行动的经验。
当然,安全企业与其竞争对手经常针对IT展开重点讨论,因为一些措施已在近几年大面积地消失了
“在最近三,四年中,信息安全的重要程度已经和一些其他事情牵扯上了,如虚拟化,云计算,Web 2.0等;这些基本上都已经在计划表中了。”Wheatman说
以此同时,Wheatman还指出,具体到每个公司的会计部的预算案,如果有人试图计算出整体的安全开支,就是在给自己找一个大麻烦。
举例来说,“为第三方托管服务之安全性服务供应商所支出的费用”往往属于人力资源预算;类似的“用于反恶意程序的开支”往往是定性为 “操作和维护费用”;而一个信息安全预算狭义的看法认为预算本身基本上不能占据包含在构建项目中的安全软件支出。简直就是一个逻辑怪圈。
通过Gartner的轮询,CIO们说:ID管理占据了他们安全项目的优先次序名单的顶端,其次要以科技防止数据丢失。
第三位和第四位的分别是 防病毒程序和防火墙。Wheatman所说的在安全环境下根深蒂固的支柱 指向一个新的预算周期。
