好消息是，企業(yè)的安全預(yù)算正在普遍上漲。而壞消息則是，惡意攻擊成功的幾率也在上升。也許這就解釋了為什么今年企業(yè)平均安全預(yù)算達(dá)430萬(wàn)美元，比上年增長(zhǎng)了51%，而這一數(shù)字幾乎是2010年220萬(wàn)美元的近兩倍，據(jù)普華永道最近的全球信息安全調(diào)查報(bào)告顯示。

　　問(wèn)題是，為什么企業(yè)的安全預(yù)算不斷上升，但他們?nèi)詻](méi)有得到他們所預(yù)期的效果呢?“許多企業(yè)都迷戀于購(gòu)買(mǎi)最新潮的東西，無(wú)論其對(duì)于他們的特定的安全需求是否是最明智的。”The Blackstone Group首席信息安全官Jay Leek表示。

　　這項(xiàng)針對(duì)9600位企業(yè)高管的第11屆年度全球信息安全調(diào)查還發(fā)現(xiàn)，企業(yè)單次事故所造成損失超過(guò)1000萬(wàn)美元的數(shù)量高達(dá)75%。相關(guān)違規(guī)的費(fèi)用也在上漲，較之2012年，2013年數(shù)據(jù)破壞上升了9%。

　　可以肯定的一點(diǎn)是，許多企業(yè)并沒(méi)有把錢(qián)花在刀刃上，他們并不是采購(gòu)了最適合的解決方案以幫助發(fā)現(xiàn)高級(jí)的攻擊者，如選擇惡意軟件分析(只有51 %的企業(yè)這樣做了)，網(wǎng)絡(luò)流量的檢查(占41%)，惡意設(shè)備比例檢查(34%)，深度包檢測(cè)(27%)，或安全風(fēng)險(xiǎn)威脅建模(21%)。

　　鑒于上述列出的所有的數(shù)據(jù)，您如何確定您企業(yè)所增加的安全預(yù)算都被用在了合適的地方?

　　首先，確保您的安全人員團(tuán)隊(duì)都是最好的。

　　“要弄清楚您安全團(tuán)隊(duì)是否人手不足或臃腫是相當(dāng)棘手的。”SANS協(xié)會(huì)新興安全趨勢(shì)主管John Pescatore說(shuō)。如果您企業(yè)有10個(gè)防火墻，有多少全職員工來(lái)管理它們?如果您企業(yè)有三個(gè)員工來(lái)管理10個(gè)防火墻，要么就是您企業(yè)的防火墻管理經(jīng)理真的很糟糕，要么您應(yīng)該考慮投資工具，以便讓一個(gè)員工就可以管理10個(gè)防火墻。”他說(shuō)。

　　評(píng)估安全團(tuán)隊(duì)人員的一個(gè)方法是，看看安全團(tuán)隊(duì)有多少全職人員，以及其占到企業(yè)IT團(tuán)隊(duì)總數(shù)的百分比。另一個(gè)是拿您企業(yè)安全人員/一般IT人員的比例，與您企業(yè)所屬行業(yè)的同行進(jìn)行比較。Pescatore說(shuō)。這是一個(gè)很好的方法。一定要考慮有多少全職員工的工作可以通過(guò)外包來(lái)安排，如防火墻的管理與監(jiān)控。”他解釋說(shuō)。

　　而安全專(zhuān)業(yè)人員的不足可能會(huì)導(dǎo)致企業(yè)最終推動(dòng)無(wú)安全擔(dān)保項(xiàng)目的投產(chǎn)，無(wú)法正確響應(yīng)事件，或適當(dāng)?shù)乇３忠粋�(gè)健康的安全程序。這意味著那些安全人員有可能經(jīng)常從一個(gè)緊急狀況調(diào)配到處理下一個(gè)緊急狀況。

　　而當(dāng)涉及到安全性預(yù)算支出，至少在未來(lái)幾年內(nèi)，進(jìn)行人力資本投資仍將是明智的，企業(yè)仍然可以找到那些最合格的員工。據(jù)IT認(rèn)證供應(yīng)商(ISC)2剛剛發(fā)布的研究報(bào)告顯示，去年全球信息安全專(zhuān)業(yè)人士的總數(shù)約225萬(wàn)。這一數(shù)字預(yù)計(jì)將在未來(lái)兩年飛躍到425萬(wàn)。據(jù)(ISC) 2預(yù)期，可能會(huì)有47%的合格的安全專(zhuān)業(yè)人員職位短缺。

　　據(jù)State of the CSO在2013年發(fā)現(xiàn)，對(duì)于熟練的IT安全專(zhuān)業(yè)人士的需求已經(jīng)出現(xiàn)緊張，企業(yè)正在積極吸引頂級(jí)安全人才。大公司最有可能增加其安全性資源，42 %的企業(yè)正在規(guī)劃增加人員，相對(duì)于中型企業(yè)和小型企業(yè)的比例分別為37%和26%。事實(shí)上，尋找和留住熟練的IT安全人員被確定為31%的大公司最大的挑戰(zhàn)之一。

　　另一種方法最大限度地提高安全預(yù)算的方法是確保預(yù)算是與當(dāng)前的安全需求和應(yīng)用程序盡可能的相匹配。“我們看到有許多企業(yè)將采購(gòu)的很多安全解決方案束之高閣。” 451集團(tuán)安全分析師Javvad Malik說(shuō)。“我們最近進(jìn)行的一項(xiàng)調(diào)查顯示，沒(méi)有一個(gè)受訪者表示他們有適當(dāng)?shù)牧鞒虂?lái)實(shí)際淘汰舊的IT安全產(chǎn)品。 ”

　　可以預(yù)見(jiàn)，年復(fù)一年的，這些企業(yè)會(huì)不斷采購(gòu)新的安全應(yīng)用程序，但過(guò)一段時(shí)間又會(huì)棄之不用，即使這些的安全應(yīng)用程序并不是在生產(chǎn)中使用。“他們是害怕這可能會(huì)影響一些東西，或者擔(dān)心其過(guò)于嵌入到自己的程序，即使他們沒(méi)有從應(yīng)用程序得到任何價(jià)值，他們又再一次的將其棄之不用了，這一切只是在浪費(fèi)他們的錢(qián)。他說(shuō)。雖然這聽(tīng)起來(lái)很明顯，但確實(shí)有很多企業(yè)沒(méi)有這樣做：停止那些所有可以被停止的安全設(shè)備和軟件應(yīng)用程序。

　　Akamai Technologies公司首席安全官Andy Ellis說(shuō)，企業(yè)購(gòu)買(mǎi)了安全設(shè)備，但卻不具備專(zhuān)業(yè)知識(shí)的人員來(lái)維護(hù)，或者未預(yù)留的培訓(xùn)預(yù)算的不幸全太常見(jiàn)了。Ellis建議，在購(gòu)買(mǎi)相關(guān)的SIEM、Web應(yīng)用防火墻軟件或惡意軟件取證分析軟件之前，企業(yè)管理者需要思考如下一組問(wèn)題。

　　您企業(yè)是否有人知道如何使用這個(gè)系統(tǒng)?

　　難道他們能勝任該系統(tǒng)的安裝，使用和維護(hù)嗎?

　　系統(tǒng)實(shí)際上是否有效果?

　　而其中只要有一個(gè)否定的回答，即表明您企業(yè)不應(yīng)該購(gòu)買(mǎi)，而一個(gè)肯定的回答并不意味著預(yù)算是一個(gè)合理的部署。但是如果所有這三個(gè)問(wèn)題的答案企業(yè)管理者都無(wú)法給出肯定回答，那么您企業(yè)如果采購(gòu)該方案無(wú)疑是在浪費(fèi)錢(qián)。有多少SIEM并未發(fā)揮任何作用，就是因?yàn)槠髽I(yè)沒(méi)有操作員。”Ellis說(shuō)。

　　Blackstone的Leek認(rèn)為，多年來(lái)，許多企業(yè)已經(jīng)花費(fèi)了大量的資金用于安全防御技術(shù)，但卻并未對(duì)相關(guān)的安全事件做出很好的響應(yīng)。“不管您企業(yè)花了多少錢(qián)用于安全防御技術(shù)，或者說(shuō)您企業(yè)的安全防御工作做得多么好，又或者說(shuō)是您企業(yè)在制定安全預(yù)算方面有多么的明智，而如果您企業(yè)并沒(méi)有對(duì)相關(guān)的安全事件做出足夠的公司反應(yīng)能力投資，您都將會(huì)有遭到安全攻擊的風(fēng)險(xiǎn)。其結(jié)果就是一旦安全威脅事件發(fā)生，企業(yè)很少有能力使自己幸免遇難，他說(shuō)。

　　鑒于大多數(shù)企業(yè)在防御技術(shù)與安全事件響應(yīng)方面的投資花費(fèi)嚴(yán)重不成比例，我們鑒于企業(yè)務(wù)必將對(duì)安全事件的響應(yīng)方面增加預(yù)算，這樣聽(tīng)起來(lái)才像是最好的一項(xiàng)預(yù)算投資。 

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.zudvwvb.cn/

本文標(biāo)題：如何優(yōu)化企業(yè)的安全預(yù)算

本文網(wǎng)址：http://www.zudvwvb.cn/html/consultation/10839315229.html