Kan du kutte informasjonssikkerhet i vanskelige tider og overleve?

Selv om noen analytikere faktisk forventer at sikkerhetsutgifter skal øke i år - i hvert fall som en prosentandel av det totale IT-utgifter - gir noen CIOer en alvorlig tanke på den en gang utenkelige ideen av trimning av sikkerhetsbudsjetter som bedrifter ser ut til å redusere kostnadene i løpet av denne globale resesjonen.

"Nesten absolutt opplever mennesker kutt," sier Pete Lindstrom, analytiker hos forskningsfirmaet Spire Security. "Hvis du tenker på sikkerhet som et kostnadssted innen et kostnadssted [IT], … så er sikkerhet et flott sted å starte," legger han til. "Det er selskaper som diskonterer deres sikkerhet for å kjøre bunnlinjen," sier Charlie Meister, administrerende direktør ved Universitetet i Sør-California, Institute for Critical Information Infrastructure Protection. "Jeg har sett en ganske betydelig nedgang i løpet av de siste seks månedene," sier Rich Cummings, CTO hos HBGary, et sikkerhetsselskap som har kunder i finansbransjen.

[Prøver å trimme IT-kostnader? InfoWorld avslører 7 enkle ideer du kanskje har oversett.]

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Risikoen for å kutte sikkerhet er at et sikkerhetsbrudd kan være katastrofalt. Ponemon-instituttet peker på gjennomsnittskostnaden for et data brudd på $ 6,7 millioner.

Men du kan ikke ha noe valg hvis pengene ikke er der. Eksperter sier at selskaper som har gjort det harde arbeidet med å virkelig forstå risikostilling, kan trimme utgifter uten å øke risikoen. Og selskaper som har tatt sikkerhet på alvor, kan være like kloge om hvordan de reduserer deres sikkerhetskostnader, sier USCs Meister. Dessverre noterer han seg, selskapene som er i denne stillingen er eksepsjonelle: "Jeg tror ikke nok selskaper har gjort en god jobb med å administrere sin risikoprofil. Og det skjer ikke helt [til dem] til noen mister en bærbar PC. "

Så hvordan kutter du sikkerheten trygt?

En metode er å få sikkerhetsinformasjon fra gratis prosjekter, for eksempel Shadowserver-prosjektet, i stedet for å betale for informasjonen, sier Cummings.

Open source-verktøy bevare sikkerhet, trimme kostnader Bruken av åpen kildekodeprogramvare kan også være et flott sted å redusere sikkerhetskostnader - spesielt for små og mellomstore bedrifter, sier Spire's Lindstrom. De lar bedrifter få tilsvarende sikkerhetsverktøy for mindre penger. "Hvis produktet er kommoditert nok og menneskene dine er dyktige nok, er det ikke urimelig på dette stadiet av spillet å vurdere open source-applikasjoner," sier han.

For eksempel, ClamAV-antivirusprogrammet og Snort-intrusjonsdeteksjonssystemet er to brukte antivirusprodukter fra åpen kildekode, og det er også Open Source Security Information Management-sikkerhetshendelsesprogramvaren.

Bedrifter som ikke har penger til å betale for full disk kryptering, vil kanskje se TrueCrypt, en annen åpen kildeprosjekt. Fordi den mangler sentraliserte administrasjonsegenskaper, vil TrueCrypt "ikke være hensiktsmessig for alle miljøer", sier Morey Straus, en sikkerhetsansvarlig ved New Hampshire Higher Education Assistance Foundation, men det virker for noen.

Outsourcing sikkerhet til skyen For kontantstrengede organisasjoner kan bevegelige sikkerhetsprosesser ut av huset være en pengesparer. "Se etter cloud computing-tjenestene for å erstatte noen [sikkerhetsprodukter]," forklarer Straus.

Forrester Research rapporterer at 28 prosent av selskapene som flytter til cloud-styrte sikkerhetstjenester, gjør det for å redusere kostnadene. Selv om e-post og webfiltrering er de mest populære administrerte sikkerhetstjenestene i dag, forutser Forrester at flere bedrifter vil flytte til skyen for sikkerhetsvurdering og hendelsesovervåkning også.

Bruke hjernekraft i stedet for å kjøpe verktøy

Men for bedrifter som ønsker å forbedre sin sikkerhetsstilling uten å bruke penger, kan det ta tid å fremme et informasjonssikkerhetsbevissthetsprogram, som betaler for stor tid, ifølge Straus. "Det er bare en av de enkleste og mest effektive tingene du kan gjøre, og det koster svært lite." Straus sier at han gjorde dette i to faser hos organisasjonen, en studielånsleverandør. Først begynte han med en massepresentasjon som beskriver god sikkerhetspraksis for sine brukere. Han fulgte deretter avdelingsmøter, som han beskrev som mer av en toveis diskusjon. "Jeg kan få de ansatte til å dele med meg noen av risikoen og mulige fallgruver," sa han. "Disse møtene er svært fordelaktige."

Analytikere sier at kutte ned på manuelle prosesser, er en måte at smarte selskaper kan redusere kostnadene og omdanne personalressursene.

Heldigvis blir mange IT-butikker ikke tvunget til å ta de harde beslutningene bare om hvor du skal kutte sikkerhetsutgifter. Forrester Research sier at sikkerhet vil få en litt større andel av IT-budsjett dollar i år - i gjennomsnitt 12,6 prosent av det totale IT-utgifter, sammenlignet med 11,7 prosent i 2008. Men fordi IT-budsjettene forventes å falle 3,1 prosent i 2009, er det et stort hopp i relative forhold.