好消息是，企業(yè)的安全預算正在普遍上漲。而壞消息則是，惡意攻擊成功的幾率也在上升。也許這就解釋了為什么今年企業(yè)平均安全預算達430萬美元，比上年增長了51%，而這一數(shù)字幾乎是2010年220萬美元的近兩倍，據(jù)普華永道最近的全球信息安全調查報告顯示。

　　問題是，為什么企業(yè)的安全預算不斷上升，但他們仍沒有得到他們所預期的效果呢?“許多企業(yè)都迷戀于購買最新潮的東西，無論其對于他們的特定的安全需求是否是最明智的。”The Blackstone Group首席信息安全官Jay Leek表示。

　　這項針對9600位企業(yè)高管的第11屆年度全球信息安全調查還發(fā)現(xiàn)，企業(yè)單次事故所造成損失超過1000萬美元的數(shù)量高達75%。相關違規(guī)的費用也在上漲，較之2012年，2013年數(shù)據(jù)破壞上升了9%。

　　可以肯定的一點是，許多企業(yè)并沒有把錢花在刀刃上，他們并不是采購了最適合的解決方案以幫助發(fā)現(xiàn)高級的攻擊者，如選擇惡意軟件分析(只有51 %的企業(yè)這樣做了)，網(wǎng)絡流量的檢查(占41%)，惡意設備比例檢查(34%)，深度包檢測(27%)，或安全風險威脅建模(21%)。

　　鑒于上述列出的所有的數(shù)據(jù)，您如何確定您企業(yè)所增加的安全預算都被用在了合適的地方?

　　首先，確保您的安全人員團隊都是最好的。

　　“要弄清楚您安全團隊是否人手不足或臃腫是相當棘手的。”SANS協(xié)會新興安全趨勢主管John Pescatore說。如果您企業(yè)有10個防火墻，有多少全職員工來管理它們?如果您企業(yè)有三個員工來管理10個防火墻，要么就是您企業(yè)的防火墻管理經理真的很糟糕，要么您應該考慮投資工具，以便讓一個員工就可以管理10個防火墻。”他說。

　　評估安全團隊人員的一個方法是，看看安全團隊有多少全職人員，以及其占到企業(yè)IT團隊總數(shù)的百分比。另一個是拿您企業(yè)安全人員/一般IT人員的比例，與您企業(yè)所屬行業(yè)的同行進行比較。Pescatore說。這是一個很好的方法。一定要考慮有多少全職員工的工作可以通過外包來安排，如防火墻的管理與監(jiān)控。”他解釋說。

　　而安全專業(yè)人員的不足可能會導致企業(yè)最終推動無安全擔保項目的投產，無法正確響應事件，或適當?shù)乇３忠粋�健康的安全程序。這意味著那些安全人員有可能經常從一個緊急狀況調配到處理下一個緊急狀況。

　　而當涉及到安全性預算支出，至少在未來幾年內，進行人力資本投資仍將是明智的，企業(yè)仍然可以找到那些最合格的員工。據(jù)IT認證供應商(ISC)2剛剛發(fā)布的研究報告顯示，去年全球信息安全專業(yè)人士的總數(shù)約225萬。這一數(shù)字預計將在未來兩年飛躍到425萬。據(jù)(ISC) 2預期，可能會有47%的合格的安全專業(yè)人員職位短缺。

　　據(jù)State of the CSO在2013年發(fā)現(xiàn)，對于熟練的IT安全專業(yè)人士的需求已經出現(xiàn)緊張，企業(yè)正在積極吸引頂級安全人才。大公司最有可能增加其安全性資源，42 %的企業(yè)正在規(guī)劃增加人員，相對于中型企業(yè)和小型企業(yè)的比例分別為37%和26%。事實上，尋找和留住熟練的IT安全人員被確定為31%的大公司最大的挑戰(zhàn)之一。

　　另一種方法最大限度地提高安全預算的方法是確保預算是與當前的安全需求和應用程序盡可能的相匹配。“我們看到有許多企業(yè)將采購的很多安全解決方案束之高閣。” 451集團安全分析師Javvad Malik說。“我們最近進行的一項調查顯示，沒有一個受訪者表示他們有適當?shù)牧鞒虂韺嶋H淘汰舊的IT安全產品。 ”

　　可以預見，年復一年的，這些企業(yè)會不斷采購新的安全應用程序，但過一段時間又會棄之不用，即使這些的安全應用程序并不是在生產中使用。“他們是害怕這可能會影響一些東西，或者擔心其過于嵌入到自己的程序，即使他們沒有從應用程序得到任何價值，他們又再一次的將其棄之不用了，這一切只是在浪費他們的錢。他說。雖然這聽起來很明顯，但確實有很多企業(yè)沒有這樣做：停止那些所有可以被停止的安全設備和軟件應用程序。

　　Akamai Technologies公司首席安全官Andy Ellis說，企業(yè)購買了安全設備，但卻不具備專業(yè)知識的人員來維護，或者未預留的培訓預算的不幸全太常見了。Ellis建議，在購買相關的SIEM、Web應用防火墻軟件或惡意軟件取證分析軟件之前，企業(yè)管理者需要思考如下一組問題。

　　您企業(yè)是否有人知道如何使用這個系統(tǒng)?

　　難道他們能勝任該系統(tǒng)的安裝，使用和維護嗎?

　　系統(tǒng)實際上是否有效果?

　　而其中只要有一個否定的回答，即表明您企業(yè)不應該購買，而一個肯定的回答并不意味著預算是一個合理的部署。但是如果所有這三個問題的答案企業(yè)管理者都無法給出肯定回答，那么您企業(yè)如果采購該方案無疑是在浪費錢。有多少SIEM并未發(fā)揮任何作用，就是因為企業(yè)沒有操作員。”Ellis說。

　　Blackstone的Leek認為，多年來，許多企業(yè)已經花費了大量的資金用于安全防御技術，但卻并未對相關的安全事件做出很好的響應。“不管您企業(yè)花了多少錢用于安全防御技術，或者說您企業(yè)的安全防御工作做得多么好，又或者說是您企業(yè)在制定安全預算方面有多么的明智，而如果您企業(yè)并沒有對相關的安全事件做出足夠的公司反應能力投資，您都將會有遭到安全攻擊的風險。其結果就是一旦安全威脅事件發(fā)生，企業(yè)很少有能力使自己幸免遇難，他說。

　　鑒于大多數(shù)企業(yè)在防御技術與安全事件響應方面的投資花費嚴重不成比例，我們鑒于企業(yè)務必將對安全事件的響應方面增加預算，這樣聽起來才像是最好的一項預算投資。 

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標題：如何優(yōu)化企業(yè)的安全預算

本文網(wǎng)址：http://www.oesoe.com/html/consultation/10839315229.html