È Possibile ridurre la sicurezza delle informazioni nei momenti difficili e sopravvivere?

Anche se alcuni analisti si aspettano che quest'anno la spesa per la sicurezza aumenti - almeno come percentuale della spesa IT totale - alcuni CIO stanno pensando seriamente all'idea un tempo impensabile di tagliare i budget di sicurezza mentre le aziende cercano di tagliare i costi durante questa recessione globale.

"Quasi certamente le persone stanno subendo tagli", afferma Pete Lindstrom, analista della società di ricerca Spire Security. "Se pensi alla sicurezza come a un centro di costo all'interno di un centro di costo [IT], … allora la sicurezza è un ottimo punto di partenza", aggiunge. "Ci sono aziende che stanno sottovalutando la loro sicurezza al fine di determinare i profitti", afferma Charlie Meister, direttore esecutivo dell'Istituto per la protezione delle infrastrutture critiche informatiche della University of Southern California. "Ho visto una riduzione significativa negli ultimi sei mesi", afferma Rich Cummings, CTO di HBGary, una società di sicurezza che ha clienti nel settore dei servizi finanziari.

[Cercando di ridurre i costi IT? InfoWorld rivela 7 idee facili che potresti aver trascurato.]

[Ulteriori informazioni: Come rimuovere malware dal PC Windows]

Il rischio di ridurre la sicurezza è che una violazione della sicurezza può essere disastrosa. Il Ponemon Institute impegna il costo medio di una violazione dei dati a $ 6,7 milioni.

Ma potresti non avere scelta se i soldi non ci sono. Gli esperti dicono che le aziende che hanno fatto il duro lavoro di comprendere veramente la loro postura del rischio possono tagliare la spesa senza aumentare il rischio. E le aziende che hanno preso sul serio la sicurezza possono essere ugualmente intelligenti su come riducono i costi di sicurezza, afferma Meister di USC. Tristemente, osserva, le aziende che si trovano in questa posizione sono eccezionali: "Non credo che un numero sufficiente di aziende abbia fatto un ottimo lavoro nel gestire il proprio profilo di rischio e non si verifica realmente [a loro] fino a quando qualcuno non perde un laptop. "

Quindi, come si taglia la sicurezza in sicurezza?

Un metodo è quello di ottenere le informazioni sulla sicurezza da progetti gratuiti, come il progetto Shadowserver, piuttosto che pagare per le informazioni, dice Cummings.

Strumenti open source preservare la sicurezza, ridurre i costi L'uso di software open source può anche essere un ottimo posto per ridurre i costi di sicurezza, specialmente per le piccole e medie imprese, afferma Lindstrom di Spire. Permettono alle aziende di ottenere strumenti di sicurezza equivalenti per meno soldi. "Se il prodotto è abbastanza commoditizzato e la tua gente è abbastanza esperta, non è irragionevole in questa fase del gioco prendere in considerazione le applicazioni open source", dice.

Ad esempio, il software anti-virus ClamAV e il sistema di rilevamento delle intrusioni Snort sono due prodotti antivirus open source ampiamente utilizzati, come il software di gestione degli eventi di sicurezza di gestione delle informazioni di sicurezza Open Source.

Le aziende che non hanno i soldi per pagare la crittografia completa del disco potrebbero voler guardare TrueCrypt, un'altra aperta progetto di origine. Perché manca funzionalità di gestione centralizzata, TrueCrypt "non sarà appropriato per ogni ambiente", afferma Morey Straus, un addetto alla sicurezza delle informazioni con la New Hampshire Higher Education Assistance Foundation, ma funziona per alcuni.

Outsourcing della sicurezza per the cloud Per le organizzazioni a corto di liquidità, spostare i processi di sicurezza fuori dalla casa può essere un risparmio di denaro. "Guardate i servizi di cloud computing per sostituire alcuni [prodotti di sicurezza]", raccomanda Straus.

Forrester Research riporta che il 28% delle aziende che passano a servizi di sicurezza gestiti in-the-cloud lo fa per tagliare i costi. Sebbene la posta elettronica e il filtro Web siano oggi i più diffusi servizi di sicurezza gestiti, Forrester prevede che più aziende si sposteranno nel cloud per la valutazione delle vulnerabilità e il monitoraggio degli eventi.

Usare l'intelligenza invece di acquistare strumenti

Ma per le aziende che vogliono migliorare la propria postura di sicurezza senza spendere soldi, prendere il tempo per promuovere un programma di sensibilizzazione alla sicurezza delle informazioni può dare i loro frutti, secondo Straus. "Questa è solo una delle cose più facili e più efficaci che puoi fare e costa pochissimo."

Straus dice di averlo fatto in due fasi nella sua organizzazione, un fornitore di prestiti agli studenti. In primo luogo, ha iniziato con una presentazione di massa delineando buone pratiche di sicurezza per i suoi utenti. Ha poi seguito le riunioni dipartimentali, che ha descritto come più di una discussione a doppio senso. "Sono in grado di convincere i dipendenti a condividere con me alcuni dei rischi e delle possibili insidie", ha detto. "Questi incontri sono molto vantaggiosi".

Gli analisti dicono che ridurre i processi manuali è un modo in cui le aziende intelligenti possono ridurre i costi e rifocalizzare le risorse del personale.

Fortunatamente, molti negozi IT non sono obbligati a prendere decisioni difficili non so ancora dove tagliare le spese per la sicurezza. Forrester Research afferma che la sicurezza raggiungerà una percentuale leggermente superiore di budget IT quest'anno - in media il 12,6% della spesa IT totale, rispetto all'11,7% del 2008. Ma poiché i budget IT dovrebbero scendere del 3,1% nel 2009, è un grande salto in termini relativi.