2009年数据保护提上CIO安全日程

Forrester研究公司的一份调查显示，烟草和赌博可能不再是经济衰退的证据，但是，一些大型公司的IT安全预算却在2009年的IT支出中占有更大的比例。数据保护将是企业们在2009年最先考虑的事情，是重中之重。

在今后的12个月中，大约有五分之一的安全小组计划试点或采用全盘风险加密、文件类加密、主机入侵防御系统（HIPS）和端点控制。当综合一下使用这些安全技术的企业的百分比，企业对这些技术的采用率将高达50%。

研究显示，在2008年就有跳跃的安全预算同时也为部分企业领导带来了意识上的加强：安全是一种业务风险。不过，恢复有安全问题的业务以及确保有足够的资金对于IT部门来说仍然是一个严峻的挑战。并且保护公司的日常负担呢？这些问题几乎存在于IT部门的所有地方，IT安全团队几乎没有时间进行策略规划。

“即便是人们已经意识到了安全对于业务的重要性，安全应该重点放在保护数据以及重要的资源上，但是，企业还要对下面的这些问题进行深思熟虑，我们在这方面的支出是多少？我们应该花费在哪些方面？多少资金最合适以及应该展开什么项目？” Forrester公司分析师Jonathan Penn说，他是这份研究报告的主要作者。

这次调查是针对942名业务、安全和IT管理人员展开的，这些管理者都是来自那些拥有1000到20000人的公司。这次调查是在2008年的第三季度展开的。

尽管说，IT预算总体上出现了下滑，但是安全在IT预算中仍占有很大比重。在这份研究显示，2009年，那些员工超过1000人的公司应该在他们的IT运营预算中拿出12.6%用于安全方面的支出。而在去年，IT预算的这方面支出是11.7%，这也比2007年有了很大的增幅。

业务管理者们对于安全即是业务风险的认证取决于报告线的转变。调查显示，由Forrester公司推举的有高于一半的IT安全专家（56%）都来自公司的董事会或者是和CEO/总裁或者是公司管理委员会。尽管安全部门与业务部门需要组织协调，但是在大多数企业中，安全仍然IT的中心工作。

调查还显示，对于基础设施安全的责任、身份认证和访问管理，威胁和漏洞管理、法规遵从甚至物理安全等等，在IT安全部门中都有多下降。那些技术性的职责使他们没有更多的时间进行策略研究，Penn说。

已经实施的安全策略并没有得到太多的业务部门的支持，仅仅获得一些中性的支持，他说。多于三分之二的受访公司（70%）表示，企业的其他优先项目要凌驾于安全计划之上。

“当我看到这些挑战的时候，令我奇怪的是，虽然说有之前的报告线，但是，为安全项目获取足够的管理者支持仍然是个问题，” Penn说。

但是，这种脱节只是表明了IT人员以一种业务管理者所理解的方式明确安全投资的价值是多么的困难，他补充说。“他们需要表明这些安全方面的投资会为业务部门带来投资回报，”他说，这是鼓励业务部门帮助制定安全策略和发展用于评估安全ROI战略指标的第一步。

2009年 全盘加密热点

与此同时，IT安全策略在过去的几年当中几经发生了相当大的转变，Penn说，从过去的重点放在威胁防御到现在的保护企业的数据资产。确实，在90%的IT安全部门中，数据安全都是最应该优先考虑的，大大高于过去提到的威胁，如恶意软件（在11个安全问题中排名第六）和法规遵从（排名11）。应用安全（86%）和灾难恢复以及业务连续性（81%）分别排在名单中的第二和第三。

在Penn的观点看来，重点放在数据保护代表着对安全有了一个“相当健康的方式”。相比于跟踪黑客的最新攻击包，IT管理者更应该采取一个基于资产的方法，确定公司的最重要的数据存储以及围绕它们建立防御。

“有一个不断增长的认识是，重点应该放在那些对业务资产产生威胁的攻击上，而不是着眼于此类攻击本身，”他说。

采用威胁管理工具一直都比端点数据保护技术更重要。但是，在数据资产保护方面的投资无疑是在增加。全盘加密导致客户安全技术加以重视，22%的受访者表示，他们计划进行试点或在今后的12个月中使用这个技术。

IAM，安全服务管理不断发展

这些企业向Forrester透露，在过去的几年令一个显著的变化是，安全因素——而不遵从——正在驱动他们采用身份认证和访问管理（IAM）技术。尽管IAM的费用（38%）和复杂性（30%）是个问题，但是仍有15%到21%的公司表示在未来的12个月将会试用或采用一系列的IAM技术。在IAM的技术中，企业单点登录是最受关注的，大约有21%的企业打算试用或采用这项技术，紧随它的是许可技术（19%）。

这项调查还显示了，大型企业不断地采用安全服务管理主要是为了寻找特殊的技术（29%）和降低成本（28%）。尽管说，现在最流行的服务管理是email和Web内容过滤技术，但是，危险评估和主机事故检测管理是未来12个月中最受关注的。计划外包这些领域的公司的百分比几乎是试用这些服务的公司的百分比的两倍。

“我们认为人们采用安全服务管理是为了节省成本，” Penn说。“但是，我们看到很多中小企业和大企业都采用了安全管理服务，很多企业都与技术短缺有关，企业不想在花费成本培养合适的技术人才，或者从某种意义上说，他们不需要有这些技术的人员，他们只是想有效地外包处去。”

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。