最近有许多人讨论IT安全是否能免疫经济衰退。答案是否定的。
最新的关于IT安全与经济衰退的故事来自《SC》杂志的文章《安全能免疫经济衰退吗》。
该文章没有提供结论,看上去只是总结安全具有免疫经济衰退的强烈“可能”。
文章的大部分在关注经济模型的需求方面:安全攻击正在增加,合规不会消失,而且公司将越来越多地强调安全投资的回报。
我对此都无异议。
安全攻击确实在增加,合规的需求无疑也将升高,公司也需要为他们的安全预算寻找理由。但这些条件在经济衰退开始之前,也就是2007年12月之前就有了。
让我们引用一下Guardium公司的Phil Neray的观点:
Guardium公司是一家位于马萨诸塞州沃尔瑟姆的数据库安全公司,该公司战略副总裁Phil Neray认为,大多数企业,特别是金融服务企业,显
然必须保障其数据的完整性。但是,他补充道,当情况变得糟糕时,公司会想着怎么才能花小钱办大事,“如果你能用自动化流程替代手工流程,CFO就很有可能通过你的预算。”他说。
他表示,当安全人员可能不习惯和人争论投资回报率,以使预算得到批准的时候,尽量概述一个自动化、集中化,设备化的方法是如何替代许可证、日志文件的海量存储,以及雇佣来处理这些文件的第三方人员的,要有具备说服力的案例。
他是对的。业务和安全专业人士总是寻求改进流程的方法,同时要“少花钱多办事”。而且,安全管理人员已经成为任何收购中不可缺少的人。当业务和安全部门一直以这种方式紧密合作,当经济不佳时大家做事就可以很顺。但如果你急于在目前的情况下增加自动化水平,同时又要降低成本,那就太晚了。
这时,你唯一的希望就是你的竞争对手未能精简业务部门,而你已经做到了。这是很糟糕的处境,因为你已经把命运交给了竞争者。
我想说的一点是,如果你已经尽可能自动化,合理授权,精简浮员,那么现在你就可以坐享其成了。
那么现在,安全是否能免疫经济衰退呢,当然不是了。
如果业务行动停顿了或者减少了,那么与这些业务关联的安全当然也一样。
如果新的招聘减少了,那么需要管理的职员身份也一样。
如果新的外地办事处没有建立,就也没必要再去保护和监控那些地方的网络了。
如果新的应用开发已受到限制,因此应用安全分析也同样的减少。
但是,虽然IT安全的增长率将随着业务的IT需求削减而放缓,但所有上述讲的这些东西都将需要维持现有的基础设施。而且,对于那些能够帮助业务更有效率的IT安全供应商和员工来说,机会永远存在。
因此,尽管IT安全不会“经济衰退免疫”,但它比其他业务领域更具抗拒衰退的弹性。