Dapatkah Anda Memotong Keamanan Informasi di Masa-Masa Sulit dan Bertahan?

Meskipun beberapa analis benar-benar mengharapkan pengeluaran keamanan meningkat tahun ini - setidaknya sebagai persentase dari total belanja TI - beberapa CIO memberikan pemikiran serius terhadap ide yang tidak terpikirkan memangkas anggaran keamanan karena bisnis mencari untuk memotong biaya selama resesi global ini.

"Hampir pasti orang-orang mengalami pemotongan," kata Pete Lindstrom, seorang analis di firma riset Spire Security. "Jika Anda menganggap keamanan sebagai pusat biaya dalam pusat biaya [IT], … maka keamanan adalah tempat yang bagus untuk memulai," tambahnya. "Ada perusahaan yang mendiskon keamanan mereka untuk menggarisbawahi," kata Charlie Meister, direktur eksekutif dari Institute for Critical Information Infrastructure Protection University of Southern California. "Saya telah melihat pemangkasan yang cukup signifikan selama enam bulan terakhir," kata Rich Cummings, CTO di HBGary, sebuah perusahaan keamanan yang memiliki klien di industri jasa keuangan.

[Berusaha memangkas biaya TI? InfoWorld mengungkapkan 7 gagasan mudah yang mungkin Anda lewatkan.]

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Risiko pemotongan keamanan adalah bahwa pelanggaran keamanan dapat menjadi bencana. The Ponemon Institute mematok biaya rata-rata pelanggaran data sebesar $ 6,7 juta.

Tapi Anda mungkin tidak punya pilihan jika uang itu tidak ada. Para ahli mengatakan perusahaan yang telah melakukan kerja keras untuk benar-benar memahami postur risiko mereka dapat memangkas pengeluaran tanpa meningkatkan risiko. Dan perusahaan yang telah mengambil keamanan dengan serius dapat sama-sama pintar tentang bagaimana mereka mengurangi biaya keamanan mereka, kata USC's Meister. Sayangnya, dia mencatat, perusahaan-perusahaan yang berada dalam posisi ini luar biasa: "Saya tidak berpikir cukup banyak perusahaan telah melakukan pekerjaan besar dalam mengelola profil risiko mereka. Dan itu tidak benar-benar terjadi [kepada mereka] sampai seseorang kehilangan laptop.. "

Jadi bagaimana Anda memotong keamanan dengan aman?

Salah satu metode adalah untuk mendapatkan intelijen keamanan Anda dari proyek gratis, seperti proyek Shadowserver, daripada membayar untuk informasi, kata Cummings.

Alat sumber terbuka menjaga keamanan, memangkas biaya Penggunaan perangkat lunak open source juga dapat menjadi tempat yang bagus untuk memangkas biaya keamanan - terutama untuk usaha kecil dan menengah, kata Spire's Lindstrom. Mereka membiarkan bisnis mendapatkan alat keamanan yang setara dengan lebih sedikit uang. "Jika produk tersebut cukup komoditi dan orang-orang Anda cukup terampil, itu tidak masuk akal pada tahap ini permainan untuk mempertimbangkan aplikasi open source," katanya.

Sebagai contoh, perangkat lunak anti-virus ClamAV dan sistem deteksi intrusi Snort adalah dua produk anti-virus open source yang banyak digunakan, seperti juga perangkat lunak manajemen aktivitas Keamanan Informasi Manajemen Sumber Terbuka.

Perusahaan yang tidak memiliki uang untuk membayar enkripsi disk penuh mungkin ingin melihat TrueCrypt, yang lain terbuka proyek sumber. Karena tidak memiliki kemampuan manajemen terpusat, TrueCrypt "tidak akan sesuai untuk setiap lingkungan," kata Morey Straus, petugas keamanan informasi dari Yayasan Bantuan Pendidikan Tinggi New Hampshire, tetapi bekerja untuk sebagian.

Keamanan sumber daya untuk awan Untuk organisasi yang kekurangan uang, memindahkan proses keamanan ke luar rumah dapat menjadi penghemat uang. "Lihatlah ke layanan cloud computing untuk mengganti beberapa [produk keamanan]," Straus merekomendasikan.

Forrester Research melaporkan bahwa 28 persen perusahaan yang pindah ke layanan keamanan yang dikelola di-the-cloud melakukannya untuk memotong biaya. Meskipun e-mail dan pemfilteran Web adalah layanan keamanan terkelola yang paling populer saat ini, Forrester memproyeksikan bahwa lebih banyak bisnis akan pindah ke cloud untuk penilaian kerentanan dan pemantauan peristiwa juga.

Menggunakan kekuatan otak daripada membeli alat

Tetapi bagi perusahaan yang ingin meningkatkan postur keamanan mereka tanpa mengeluarkan uang, meluangkan waktu untuk mempromosikan program kesadaran keamanan informasi dapat membayar waktu besar, menurut Straus. "Itu hanya salah satu hal termudah dan paling efektif yang dapat Anda lakukan dan biayanya sangat kecil."

Straus mengatakan ia melakukan ini dalam dua fase di organisasinya, seorang pemberi pinjaman mahasiswa. Pertama, dia memulai dengan presentasi massal yang menguraikan praktik keamanan yang baik untuk para penggunanya. Dia kemudian menindaklanjuti dengan rapat-rapat departemen, yang dia gambarkan sebagai lebih dari diskusi dua arah. "Saya bisa membuat karyawan berbagi dengan saya beberapa risiko dan kemungkinan jebakan," katanya. "Pertemuan tersebut sangat bermanfaat."

Analis mengatakan bahwa mengurangi proses manual adalah salah satu cara perusahaan pintar dapat mengurangi biaya dan memfokuskan kembali sumber daya staf.

Untungnya, banyak toko TI tidak dipaksa untuk membuat keputusan sulit. belum tentang tempat untuk memotong pengeluaran keamanan. Forrester Research mengatakan bahwa keamanan akan mendapatkan persentase yang sedikit lebih besar dari anggaran IT dolar tahun ini - rata-rata, 12,6 persen dari total belanja TI, dibandingkan dengan 11,7 persen pada 2008. Tetapi karena anggaran TI diperkirakan turun 3,1 persen pada 2009, itu lompatan besar dalam hal relatif.