一項(xiàng)新的調(diào)查表明,閑置軟件成為企業(yè)日益嚴(yán)重的問(wèn)題,而這通常由于IT部門缺乏時(shí)間和資源所導(dǎo)致。專家們看到各種不同的原因,警告小企業(yè)需要更加小心、以避免浪費(fèi)的安全軟件采購(gòu)。
根據(jù)Osterman研究公司代表安全合規(guī)廠商Trustwave進(jìn)行的這項(xiàng)調(diào)查,多數(shù)組織在2014年安全軟件支出更多——2014年每用戶115美元,相較2013年每用戶80美元—但是新支出的大多數(shù)(33美元)正被投資于那些不是未能發(fā)揮實(shí)際效用就是壓根沒(méi)被用過(guò)的軟件。
Josh Shaul是Trustwave公司負(fù)責(zé)產(chǎn)品管理的副總裁,Trustwave總部在芝加哥。他認(rèn)為雖然這項(xiàng)調(diào)查專門評(píng)估安全相關(guān)產(chǎn)品,但閑置不用的問(wèn)題并不局限在信息安全行業(yè)。
“這并不是行業(yè)特有的問(wèn)題,它事實(shí)上看起來(lái)相當(dāng)普遍。”Shaul如是說(shuō)。
這份來(lái)自IT決策者的調(diào)查答復(fù)將閑置不用問(wèn)題歸咎于時(shí)間和資源的缺乏。在受訪者中,35%認(rèn)為IT部門太繁忙而未能正確實(shí)施已購(gòu)買的軟件,而33%提及IT部門沒(méi)有足夠的員工。報(bào)告的其他問(wèn)題則包括對(duì)軟件缺乏理解(19%);缺乏技術(shù)培訓(xùn)(17%);以及對(duì)問(wèn)題理解不夠(12%)。
組織需要良好溝通
這些問(wèn)題的原因尚不清晰,但是Shaul相信部分問(wèn)題是企業(yè)內(nèi)部的溝通問(wèn)題以及不同的團(tuán)隊(duì)不是未能正確理解安全威脅就是不了解已采購(gòu)的軟件。他認(rèn)為,同一組織內(nèi)的安全團(tuán)隊(duì)和運(yùn)營(yíng)團(tuán)隊(duì)間存在理解的鴻溝,從而導(dǎo)致雙方就應(yīng)對(duì)安全威脅的最佳方式存在分歧。
此外,安全團(tuán)隊(duì)購(gòu)買軟件也許來(lái)自上級(jí)管理的強(qiáng)制要求,以顯得積極主動(dòng),即使管理層也許并不一定理解某一特定安全威脅或者有效響應(yīng)的必需措施。
Osterman研究的董事長(zhǎng)Michael Osterman認(rèn)為,發(fā)生這種情況是因?yàn)榘踩珜<蚁蚬芾韺咏忉対撛谕{時(shí)存在困難。管理層更愿意在事件發(fā)生后要求對(duì)威脅做出響應(yīng)而不是事前同意預(yù)防性開(kāi)支。Osterman呼吁公司應(yīng)更為主動(dòng)積極,但是他也承認(rèn)IT團(tuán)隊(duì)對(duì)威脅進(jìn)行優(yōu)先級(jí)排序時(shí)存在困難。
“在許多組織中IT部門傾向于去救火,而沒(méi)有時(shí)間去了解全局,” Osterman認(rèn)為,“網(wǎng)絡(luò)安全罪犯在開(kāi)發(fā)新技術(shù)上非常活躍。這些壞家伙技術(shù)精通且資金充足,而中小企業(yè)的IT部門不一定能跟上,并且即使當(dāng)他們可以時(shí),也很難說(shuō)服管理層為風(fēng)險(xiǎn)買單。”
這可能是被報(bào)導(dǎo)的閑置問(wèn)題的最大原因,涉及到已安裝的安全軟件未能發(fā)揮實(shí)際效用地在工作。因?yàn)镮T部門通常可能被牽引至如此眾多的方向,如策略管理以及策略引擎升級(jí)這樣的日常維護(hù)工作則可能被忽略。Osterman建議幫助緩解這個(gè)問(wèn)題的辦法是在組織內(nèi)進(jìn)行更好的終端用戶教育。如果員工能更多意識(shí)并懷疑到網(wǎng)站釣魚(yú)騙術(shù),那么這將意味著IT部門能花更少的時(shí)間處理那些小的問(wèn)題從而有更多時(shí)間聚焦在重要問(wèn)題上。
規(guī)模更小的企業(yè)怎么辦?
Shaul和Osterman都認(rèn)為,閑置問(wèn)題在任何規(guī)模的組織都存在,但是小企業(yè)會(huì)有額外的煩惱,尤其涉及到成本。
這項(xiàng)調(diào)查表明,以每用戶33美元正被花費(fèi)到表現(xiàn)不佳或未被使用的安全軟件上來(lái)算,一個(gè)500用戶的組織將有超過(guò)1萬(wàn)6千美元的安全軟件投資被浪費(fèi)掉。這將更多影響到小企業(yè),因?yàn)樗麄儾荒艹浞掷靡?guī)模經(jīng)濟(jì),且最終在安全軟件上將開(kāi)支更大—每用戶157美元—高于大企業(yè)(73美元)。
Shaul認(rèn)為中小企業(yè)也許有機(jī)會(huì)形成產(chǎn)業(yè)利益集團(tuán)以增加整體購(gòu)買力并降低這些成本,但是Shaul和Osterman都同意最容易的選項(xiàng)將是通過(guò)云服務(wù)或者可管理的安全服務(wù)提供商(MSSP)謀求外部幫助。
“小企業(yè)知道最基礎(chǔ)需要做的事情,但在專業(yè)知識(shí)上需要更多幫助,” Osterman認(rèn)為。“在處理敏感用戶數(shù)據(jù)時(shí),他們更多傾向于依賴咨詢公司,本身也沒(méi)有處理特定問(wèn)題的專家,包括諸如PCI一類的合規(guī)要求問(wèn)題。”
Shaul認(rèn)為,聘用一位內(nèi)部專家對(duì)中小企業(yè)來(lái)說(shuō)更為昂貴。他們不得不支付相對(duì)高的成本來(lái)聘用IT員工并正確部署軟件。最后,中小企業(yè)會(huì)更傾向于更具成本效益的外部資源合作。
這項(xiàng)調(diào)查看起來(lái)表明了一種方向上的趨勢(shì),79%的受訪者認(rèn)為移動(dòng)到云端或可管理服務(wù)可對(duì)消除閑置問(wèn)題產(chǎn)生影響。根據(jù)這項(xiàng)調(diào)查,采用云或者可管理安全服務(wù)的用戶數(shù)在2015年可能增加43%。越多公司求助于這些解決方案,也就意味著越少的安全軟件被閑置。
京公網(wǎng)安備 11010502049343號(hào)