好消息是，企業的安全預算正在普遍上漲。而壞消息則是，惡意攻擊成功的幾率也在上升。也許這就解釋了為什么今年企業平均安全預算達430萬美元，比上年增長了51%，而這一數字幾乎是2010年220萬美元的近兩倍，據普華永道最近的全球信息安全調查報告顯示。

　　問題是，為什么企業的安全預算不斷上升，但他們仍沒有得到他們所預期的效果呢?“許多企業都迷戀于購買最新潮的東西，無論其對于他們的特定的安全需求是否是最明智的。”The Blackstone Group首席信息安全官Jay Leek表示。

　　這項針對9600位企業高管的第11屆年度全球信息安全調查還發現，企業單次事故所造成損失超過1000萬美元的數量高達75%。相關違規的費用也在上漲，較之2012年，2013年數據破壞上升了9%。

　　可以肯定的一點是，許多企業并沒有把錢花在刀刃上，他們并不是采購了最適合的解決方案以幫助發現高級的攻擊者，如選擇惡意軟件分析(只有51 %的企業這樣做了)，網絡流量的檢查(占41%)，惡意設備比例檢查(34%)，深度包檢測(27%)，或安全風險威脅建模(21%)。

　　鑒于上述列出的所有的數據，您如何確定您企業所增加的安全預算都被用在了合適的地方?

　　首先，確保您的安全人員團隊都是最好的。

　　“要弄清楚您安全團隊是否人手不足或臃腫是相當棘手的。”SANS協會新興安全趨勢主管John Pescatore說。如果您企業有10個防火墻，有多少全職員工來管理它們?如果您企業有三個員工來管理10個防火墻，要么就是您企業的防火墻管理經理真的很糟糕，要么您應該考慮投資工具，以便讓一個員工就可以管理10個防火墻。”他說。

　　評估安全團隊人員的一個方法是，看看安全團隊有多少全職人員，以及其占到企業IT團隊總數的百分比。另一個是拿您企業安全人員/一般IT人員的比例，與您企業所屬行業的同行進行比較。Pescatore說。這是一個很好的方法。一定要考慮有多少全職員工的工作可以通過外包來安排，如防火墻的管理與監控。”他解釋說。

　　而安全專業人員的不足可能會導致企業最終推動無安全擔保項目的投產，無法正確響應事件，或適當地保持一個健康的安全程序。這意味著那些安全人員有可能經常從一個緊急狀況調配到處理下一個緊急狀況。

　　而當涉及到安全性預算支出，至少在未來幾年內，進行人力資本投資仍將是明智的，企業仍然可以找到那些最合格的員工。據IT認證供應商(ISC)2剛剛發布的研究報告顯示，去年全球信息安全專業人士的總數約225萬。這一數字預計將在未來兩年飛躍到425萬。據(ISC) 2預期，可能會有47%的合格的安全專業人員職位短缺。

　　據State of the CSO在2013年發現，對于熟練的IT安全專業人士的需求已經出現緊張，企業正在積極吸引頂級安全人才。大公司最有可能增加其安全性資源，42 %的企業正在規劃增加人員，相對于中型企業和小型企業的比例分別為37%和26%。事實上，尋找和留住熟練的IT安全人員被確定為31%的大公司最大的挑戰之一。

　　另一種方法最大限度地提高安全預算的方法是確保預算是與當前的安全需求和應用程序盡可能的相匹配。“我們看到有許多企業將采購的很多安全解決方案束之高閣。” 451集團安全分析師Javvad Malik說。“我們最近進行的一項調查顯示，沒有一個受訪者表示他們有適當的流程來實際淘汰舊的IT安全產品。 ”

　　可以預見，年復一年的，這些企業會不斷采購新的安全應用程序，但過一段時間又會棄之不用，即使這些的安全應用程序并不是在生產中使用。“他們是害怕這可能會影響一些東西，或者擔心其過于嵌入到自己的程序，即使他們沒有從應用程序得到任何價值，他們又再一次的將其棄之不用了，這一切只是在浪費他們的錢。他說。雖然這聽起來很明顯，但確實有很多企業沒有這樣做：停止那些所有可以被停止的安全設備和軟件應用程序。

　　Akamai Technologies公司首席安全官Andy Ellis說，企業購買了安全設備，但卻不具備專業知識的人員來維護，或者未預留的培訓預算的不幸全太常見了。Ellis建議，在購買相關的SIEM、Web應用防火墻軟件或惡意軟件取證分析軟件之前，企業管理者需要思考如下一組問題。

　　您企業是否有人知道如何使用這個系統?

　　難道他們能勝任該系統的安裝，使用和維護嗎?

　　系統實際上是否有效果?

　　而其中只要有一個否定的回答，即表明您企業不應該購買，而一個肯定的回答并不意味著預算是一個合理的部署。但是如果所有這三個問題的答案企業管理者都無法給出肯定回答，那么您企業如果采購該方案無疑是在浪費錢。有多少SIEM并未發揮任何作用，就是因為企業沒有操作員。”Ellis說。

　　Blackstone的Leek認為，多年來，許多企業已經花費了大量的資金用于安全防御技術，但卻并未對相關的安全事件做出很好的響應。“不管您企業花了多少錢用于安全防御技術，或者說您企業的安全防御工作做得多么好，又或者說是您企業在制定安全預算方面有多么的明智，而如果您企業并沒有對相關的安全事件做出足夠的公司反應能力投資，您都將會有遭到安全攻擊的風險。其結果就是一旦安全威脅事件發生，企業很少有能力使自己幸免遇難，他說。

　　鑒于大多數企業在防御技術與安全事件響應方面的投資花費嚴重不成比例，我們鑒于企業務必將對安全事件的響應方面增加預算，這樣聽起來才像是最好的一項預算投資。 

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：如何優化企業的安全預算

本文網址：http://www.guhuozai8.cn/html/consultation/10839315229.html