Você pode reduzir a segurança das informações em tempos difíceis e sobreviver?

Embora alguns analistas realmente esperem que os gastos com segurança aumentem este ano - pelo menos como uma porcentagem do gasto total com TI - alguns CIOs estão pensando seriamente na idéia antes impensável. de reduzir os orçamentos de segurança à medida que as empresas buscam cortar custos durante essa recessão global

"Quase certamente as pessoas estão enfrentando cortes", diz Pete Lindstrom, analista da empresa de pesquisa Spire Security. "Se você pensa em segurança como um centro de custo dentro de um centro de custo [IT], … então a segurança é um ótimo lugar para começar", acrescenta. "Há empresas que estão descontando sua segurança para impulsionar os resultados financeiros", diz Charlie Meister, diretor executivo do Instituto para Proteção de Infraestrutura de Informações Críticas da Universidade do Sul da Califórnia. "Eu vi uma redução bastante significativa nos últimos seis meses", diz Rich Cummings, CTO da HBGary, uma empresa de segurança que tem clientes no setor de serviços financeiros.

[Tentando reduzir os custos de TI? O InfoWorld revela 7 ideias fáceis que você pode ter esquecido.]

[Leitura adicional: Como remover malware do seu PC Windows]

O risco de cortar a segurança é que uma violação de segurança pode ser desastrosa. O Instituto Ponemon calcula o custo médio de uma violação de dados em US $ 6,7 milhões.

Mas você pode não ter escolha se o dinheiro não estiver lá. Especialistas dizem que as empresas que fizeram o trabalho duro de realmente entender sua postura de risco podem cortar gastos sem aumentar os riscos. E as empresas que levaram a segurança a sério podem ser igualmente inteligentes sobre como reduzem seus custos de segurança, diz Meister, da USC. Infelizmente, ele observa, as empresas que estão nessa posição são excepcionais: "Eu não acho que empresas suficientes tenham feito um ótimo trabalho gerenciando seu perfil de risco. E isso realmente não ocorre até que alguém perca um laptop". "

Então, como você corta a segurança com segurança?

Um método é obter sua inteligência de segurança de projetos gratuitos, como o projeto Shadowserver, em vez de pagar pela informação, diz Cummings.

Ferramentas de código aberto preservar a segurança, cortar custos O uso de software de código aberto também pode ser um ótimo lugar para reduzir os custos de segurança - especialmente para pequenas e médias empresas, diz Lindstrom, da Spire. Eles permitem que as empresas obtenham ferramentas de segurança equivalentes por menos dinheiro. "Se o produto é comoditized o suficiente e seu pessoal é habilidoso o suficiente, não é razoável nesta fase do jogo considerar aplicações open source", diz ele.

Por exemplo, o software anti-vírus ClamAV e o sistema de detecção de intrusão Snort são dois produtos antivírus de software livre amplamente utilizados, assim como o software de gerenciamento de eventos de segurança de Gerenciamento de Informações de Segurança Open Source.

Empresas que não têm dinheiro para pagar pela criptografia de disco podem querer ver o TrueCrypt, outra projeto de origem. Como falta recursos de gerenciamento centralizado, o TrueCrypt "não será apropriado para todos os ambientes", diz Morey Straus, responsável pela segurança de informações da New Hampshire Education Assistance Foundation, mas funciona para alguns.

Terceirização de segurança para a nuvem Para organizações carentes de dinheiro, mover os processos de segurança para fora da casa pode economizar dinheiro. "Olhe para os serviços de computação em nuvem para substituir alguns [produtos de segurança]", recomenda Straus.

A Forrester Research relata que 28% das empresas que migram para os serviços de segurança gerenciados na nuvem o fazem para cortar custos. Embora o e-mail e a filtragem da Web sejam os serviços de segurança gerenciados mais populares atualmente, a Forrester projeta que mais empresas migrarão para a nuvem para avaliação de vulnerabilidades e monitoramento de eventos também.

Usando o poder intelectual em vez de comprar ferramentas

Mas para as empresas que querem melhorar sua postura de segurança sem gastar dinheiro, dedicar um tempo para promover um programa de conscientização da segurança da informação pode compensar muito, de acordo com Straus. "Essa é apenas uma das coisas mais fáceis e eficazes que você pode fazer e custa muito pouco."

Straus diz que fez isso em duas fases em sua organização, um provedor de empréstimos estudantis. Primeiro, ele começou com uma apresentação em massa delineando boas práticas de segurança para seus usuários. Ele então seguiu com reuniões departamentais, que ele descreveu como mais de uma discussão em dois sentidos. "Consigo que os funcionários compartilhem comigo alguns dos riscos e possíveis armadilhas", disse ele. "Essas reuniões são muito benéficas".

Os analistas dizem que cortar processos manuais é uma maneira de as empresas inteligentes reduzirem os custos e reorientarem seus recursos.

Felizmente, muitas lojas de TI não estão sendo forçadas a tomar decisões difíceis. apenas ainda sobre onde cortar gastos com segurança. A Forrester Research diz que a segurança obterá um percentual ligeiramente maior de dólares de orçamento de TI este ano - em média, 12,6% do gasto total de TI, comparado a 11,7% em 2008. Mas, como os orçamentos de TI devem cair 3,1% em 2009, um grande salto em termos relativos.