安全優(yōu)先項目和投入的資金之間的差異越來越明顯���,根據(jù)Forrester Research公司最近的一項調(diào)查結(jié)果顯示�����,68%的IT安全決策者認為數(shù)據(jù)安全是最重要的問題�,重要地位超過合規(guī)和移動安全����,他們今年的安全預算基本與去年持平����,今年占總體IT預算的12.6%��,而去年為11.7%���。
“這些企業(yè)能夠支付所有想要的安全項目嗎?答案是否定的,”Forrester研究公司的高級分析師Andrew Jaquith表示�����,將開支花費在最新威脅病毒的日子早已經(jīng)過去了�����,“現(xiàn)在經(jīng)濟狀況不是很理想���,但企業(yè)們?nèi)匀恍枰鎸Ψ秶粩鄶U大的威脅�,而t他們又不得不保持預算平衡或者消減安全預算�����?�!?/FONT>
eIQnetworks 公司的副總裁兼高級策略師Mike Rothman表示,暗淡的經(jīng)濟狀況并不意味著安全項目的支出將會完全暫停����,只是預算就將不會增加,“現(xiàn)在最重要的問題就是�,如何最大限度地利用已有的工具、人員���、資金和已經(jīng)部署到位的流程等�?�!?/FONT>
那么�,企業(yè)IT安全如何在這種艱難時期維持生計呢?安全專家為我們提供了很多方法,包括外包IT安全功能給外部公司以及要求安全廠商提供折扣等����。以下就是經(jīng)濟危機時期保持企業(yè)安全性的6個秘訣:
1. 取消需要部署的項目
IT安全必然會涉及選擇數(shù)據(jù)保護工具,但不應該需要提供要求大量自定義的分配工具(provisioning tool)�����,F(xiàn)orrester研究公司的Jaquith表示�,這樣可能會耗費有限的資源。
“我們認為最好的辦法就是,主要選擇沒有涉及大量自定義和類似全盤加密操作的分配工具�����,”Jaquith表示�����,“分擔工作量���,確保所有的業(yè)務部門都參與?����!?/FONT>
2.與其他部門分擔安全開支
全磁盤加密(FDE)等不僅不應該是安全人員推廣的事情���,也不應該屬于安全成本��,F(xiàn)DE應該與企業(yè)的筆記本一樣作為IT企業(yè)的開支���。
另外,網(wǎng)絡應用防火墻(WAF)也不應該屬于安全費用�,可以將其作為網(wǎng)絡費用。
“很多企業(yè)在考慮使用WAF���,可是商業(yè)版本的WAF都很昂貴�����,很多精明的安全人員發(fā)現(xiàn)可以將WAF開支算入IT基礎設施費用�����,而不是IT安全費用����,前者開支明顯大得多,”WhiteHat安全公司的首席技術(shù)官Jeremiah Grossman表示�。
3.充分利用現(xiàn)有安全工具和系統(tǒng)
看看企業(yè)現(xiàn)有的Citrix或者其他中斷服務器,“你可能會發(fā)現(xiàn)一個名為Windows Terminal Server的好東西��,你可以把一些敏感資源放在這里��,減少另外購買單獨產(chǎn)品的必要��,” Forrester的Jaquith表示��,“不需要購買昂貴的數(shù)據(jù)保護工具來保護端點數(shù)據(jù)�����,可以使用Citrix來幫助保護數(shù)據(jù)?����!?/FONT>
“如果根據(jù)業(yè)務需求����,用戶需要能夠在端點處理大量敏感數(shù)據(jù),你將仍然需要部署加密工具或者數(shù)據(jù)泄漏防御工具��?!?/FONT>
考慮對勞動力密集型的工具進行調(diào)整����,如數(shù)據(jù)泄漏防御攻擊等。Forrester研究公司建議使用DLP產(chǎn)品主要用于檢查活動���,而不是阻止數(shù)據(jù)泄漏問題�����。并對各個業(yè)務部門進行調(diào)查詢問以獲取企業(yè)數(shù)據(jù)流動的大致地圖��,“如果你正在尋找DLP攻擊來阻止數(shù)據(jù)泄漏��,似乎有點為時過晚���,你需要了解用戶是如何使用信息的��,他們在下載什么信息等�����?�!?/FONT>
與此同時����,有些安全開支是絕對不可以取消的����,你不能取消與合規(guī)、法規(guī)或者其他審計員相關(guān)的開支�,在大多數(shù)情況下,合規(guī)開支是不可以取消的�����。
4.將某些安全購買與合規(guī)要求相聯(lián)系
談到合規(guī)問題,其實合規(guī)也可以幫助爭取安全資金����,很多企業(yè)已經(jīng)采取了這種有效的途徑來獲取安全資金,“關(guān)鍵在于找到一個角度����,將安全產(chǎn)品與合規(guī)要求聯(lián)系起來,也就是越具體越好�,例如處理支付數(shù)據(jù)的話,可以聯(lián)系PCI標準���?�!盝aquith表示��。 “web應用防火墻也是個很好的例子,因為PCI數(shù)據(jù)安全標準明確要求進行代碼審計�、代碼審核,WAF可以減輕應用程序安全的風險��?�!?/FONT>
5. 外包或者自動化某些安全功能
安全功能不一定全部要在企業(yè)內(nèi)部實現(xiàn)�����。將數(shù)據(jù)處理或者數(shù)據(jù)歸檔這些操作自動化或者外包給其他公司可以節(jié)省很大的開支,Varonis公司(銷售自動化數(shù)據(jù)執(zhí)行攻擊的公司)的營銷副總裁Johnnie Konstantas指出��,數(shù)據(jù)管理任務將耗費公司大量人力資源���。
“企業(yè)的很大部分資金都花在員工身上了��,這樣效率很低�����,”Konstantas表示���,“很多企業(yè)花費大量資金雇傭IT員工手動分配數(shù)據(jù)訪問權(quán)限,這是非常巨大的工程���?!?/FONT>
WhiteHat的Grossman表示��,企業(yè)有必要合理分配勞動力���,通常情況下��,外包某些特定的安全功能(如漏洞評估或者入侵檢測等)�����,可以降低某種具體操作的成本�����。
6. 利用安全市場的優(yōu)勢
現(xiàn)在不僅僅是企業(yè)擔心經(jīng)濟狀況�,安全供應商也是如此。
“喝令的安全廠商將會靈活調(diào)整產(chǎn)品價格和付款條件����,特別是當他們知道客戶非常了解其競爭對手的解決方案時,”WhiteHat公司的Grossman表示���,“可以要求安全廠商提供額外的折扣����,一旦選擇了真正適合的解決方案����,與安全廠商建立密切關(guān)系以保證以后的良好合作����?��!睆拈L遠來考慮,可以讓企業(yè)獲益�。企業(yè)將從與安全廠商的合作伙伴關(guān)系中獲得更快的支持,以及更專業(yè)的工程師的支持����,更多產(chǎn)品折扣等。
到目前為止�����,已經(jīng)有一些企業(yè)開始利用廠商市場的優(yōu)勢���,企業(yè)們應該首先對要購買的產(chǎn)品進行調(diào)查然后再與廠商進行溝通交涉 三依中文網(wǎng) www.3eeezw.com 三依��。
