Можете ли вы сократить информационную безопасность в трудные времена и выжить?

Хотя некоторые аналитики на самом деле ожидают, что расходы на обеспечение безопасности вырастут в этом году - по крайней мере, в процентах от общих расходов на ИТ - некоторые ИТ-директора серьезно задумываются о некогда немыслимой идее обрезание бюджетов безопасности, поскольку компании стремятся сократить издержки во время этой глобальной рецессии.

«Почти наверняка люди испытывают сокращения, - говорит Пит Линдстром, аналитик исследовательской фирмы Spire Security. «Если вы думаете о безопасности как о МВЗ в МВЗ [ИТ], тогда безопасность - отличное место для начала», - добавляет он. «Есть компании, которые снижают свою безопасность для того, чтобы стимулировать прибыль», - говорит Чарли Майстер, исполнительный директор Института критической информационной инфраструктуры Университета Южной Калифорнии. «За последние шесть месяцев я видел довольно значительное сокращение», - говорит Рич Каммингс, технический директор HBGary, компании по безопасности, которая имеет клиентов в сфере финансовых услуг.

[Попытка сократить расходы на ИТ? InfoWorld раскрывает 7 простых идей, которые вы, возможно, упустили.]

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

Риск снижения безопасности заключается в том, что нарушение безопасности может быть катастрофическим. Институт Ponemon привязывает среднюю стоимость нарушения данных к 6,7 миллиона долларов.

Но у вас может не быть выбора, если денег там нет. Эксперты говорят, что компании, которые очень усердно работали над пониманием своего риска, могут урезать расходы без увеличения риска. И компании, которые серьезно относятся к безопасности, могут быть одинаково умны в отношении того, как они снижают свои затраты на безопасность, - говорит Майстер из USC. К сожалению, он отмечает, что компании, которые находятся на этом посту, являются исключительными: «Я не думаю, что компании сделали большую работу по управлению своим профилем риска. И на самом деле это не происходит [до них], пока кто-то не потеряет ноутбук.

Итак, как вы безопасно удаляете безопасность?

Один из способов - получить информацию о безопасности из бесплатных проектов, например проект Shadowserver, а не платить за информацию, говорит Каммингс.

Инструменты с открытым исходным кодом сохранить безопасность, сократить расходы Использование программного обеспечения с открытым исходным кодом также может стать отличным местом для снижения затрат на безопасность - особенно для предприятий малого и среднего бизнеса, - говорит Линдстром из Spire. Они позволяют предприятиям получать эквивалентные средства безопасности за меньшие деньги. «Если продукт достаточно коммодитирован, а ваши люди достаточно квалифицированы, на данном этапе игры нецелесообразно рассматривать приложения с открытым исходным кодом», - говорит он.

Например, антивирусное программное обеспечение ClamAV и система обнаружения вторжений Snort являются двумя широко используемыми антивирусными продуктами с открытым исходным кодом, а также с программным обеспечением для управления событиями безопасности с открытым исходным кодом безопасности.

Компании, у которых нет денег на оплату полного шифрования диска, могут захотеть взглянуть на TrueCrypt, еще один открытый исходный проект. Поскольку у него нет централизованных возможностей управления, TrueCrypt «не подходит для каждой среды», - говорит Мори Страус, сотрудник службы информационной безопасности Фонда содействия высшему образованию Нью-Хэмпшира, но он работает для некоторых.

Аутсорсинг безопасности для облако Для организаций, не имеющих денежных средств, перемещение процессов безопасности из дома может быть экономией денег. «Посмотрите на службы облачных вычислений, чтобы заменить некоторые продукты безопасности», - рекомендует Straus.

Forrester Research сообщает, что 28 процентов компаний, которые переходят на службы безопасности, управляемые облаком, делают это, чтобы сократить расходы. Хотя сегодня электронная почта и веб-фильтрация являются наиболее популярными управляемыми службами безопасности, Forrester предлагает, чтобы больше предприятий переместилось в облако для оценки уязвимости и мониторинга событий.

Использование умственных возможностей вместо покупки инструментов

По словам Страуса, для компаний, которые хотят улучшить положение в сфере безопасности, не тратя денег, время, затрачиваемое на продвижение программы повышения информационной безопасности, может окупиться большим временем. «Это всего лишь одна из самых простых и эффективных вещей, которые вы можете сделать, и это стоит очень мало».

Штраус говорит, что он сделал это в два этапа в своей организации - студенческом кредитном провайдере. Во-первых, он начал с массовой презентации, в которой излагались хорошие методы безопасности для его пользователей. Затем он продолжил встречи на уровне департаментов, которые он назвал более двухсторонним обсуждением. «Я могу заставить сотрудников поделиться со мной некоторыми рисками и возможными ловушками», - сказал он. «Эти встречи очень полезны».

Аналитики говорят, что сокращение ручных процессов - это один из способов, которым умные компании могут сократить расходы и переориентировать кадровые ресурсы.

К счастью, многие ИТ-магазины не вынуждены принимать жесткие решения еще только о том, где сократить расходы на обеспечение безопасности. Forrester Research заявляет, что в этом году безопасность будет получать чуть больший процент ИТ-бюджетных долларов - в среднем 12,6% от общего объема ИТ-расходов по сравнению с 11,7% в 2008 году. Но поскольку в 2009 году ожидается сокращение ИТ-бюджетов на 3,1%, это большой скачок в относительном выражении.