¿Puede reducir la seguridad de la información en tiempos difíciles y sobrevivir?

Aunque algunos analistas en realidad esperan que los gastos de seguridad aumenten este año, al menos como porcentaje del gasto total en TI, algunos CIO están reflexionando seriamente sobre la idea antes impensable. de recortar los presupuestos de seguridad mientras las empresas buscan reducir los costos durante esta recesión global.

"Casi con certeza, la gente está experimentando recortes", dice Pete Lindstrom, analista de la firma de investigación Spire Security. "Si piensas en la seguridad como un centro de costos dentro de un centro de costos [TI], entonces la seguridad es un gran lugar para comenzar", agrega. "Hay compañías que están descontando su seguridad para impulsar el resultado final", dice Charlie Meister, director ejecutivo del Instituto de Protección de Infraestructura de Información Crítica de la Universidad del Sur de California. "He visto un recorte bastante significativo en los últimos seis meses", dice Rich Cummings, CTO de HBGary, una compañía de seguridad que tiene clientes en la industria de servicios financieros.

[¿Intentando reducir los costos de TI? InfoWorld revela 7 ideas fáciles que puede haber pasado por alto.]

[Más información: cómo eliminar el malware de su PC con Windows]

El riesgo de reducir la seguridad es que una violación de seguridad puede ser desastrosa. El Ponemon Institute fija el costo promedio de una violación de datos en $ 6.7 millones.

Pero puede que no tenga otra opción si el dinero no está allí. Los expertos dicen que las compañías que han hecho el trabajo duro de comprender realmente su postura de riesgo pueden recortar el gasto sin aumentar el riesgo. Y las compañías que se han tomado en serio la seguridad pueden ser igualmente inteligentes acerca de cómo reducen sus costos de seguridad, dice Meister de la USC. Lamentablemente, señala, las compañías que se encuentran en este puesto son excepcionales: "No creo que suficientes compañías hayan hecho un gran trabajo gestionando su perfil de riesgo. Y en realidad no ocurre [para ellos] hasta que alguien pierde una computadora portátil.. "

Entonces, ¿cómo se puede cortar la seguridad de forma segura?

Un método es obtener su inteligencia de seguridad de proyectos gratuitos, como el proyecto Shadowserver, en lugar de pagar por la información, dice Cummings.

Herramientas de código abierto preservar la seguridad, recortar costos El uso de software de código abierto también puede ser un gran lugar para reducir los costos de seguridad, especialmente para las pequeñas y medianas empresas, dice Spire's Lindstrom. Permiten que las empresas obtengan herramientas de seguridad equivalentes por menos dinero. "Si el producto está lo suficientemente comercializado y su gente es lo suficientemente capacitada, no es irracional en esta etapa del juego considerar aplicaciones de código abierto", dice.

Por ejemplo, el software antivirus ClamAV y el sistema de detección de intrusos Snort son dos productos antivirus de código abierto ampliamente utilizados, al igual que el software de gestión de eventos de seguridad Open Source Security Information Management.

Las empresas que no tienen dinero para pagar el cifrado completo del disco pueden querer ver TrueCrypt, otro abierto proyecto fuente Debido a que carece de capacidades de administración centralizadas, TrueCrypt "no va a ser apropiado para cada entorno", dice Morey Straus, un oficial de seguridad de la información de la Fundación de Asistencia para la Educación Superior de New Hampshire, pero sí funciona para algunos.

la nube Para las organizaciones con problemas de liquidez, mover los procesos de seguridad fuera de la casa puede ahorrar dinero. "Fíjese en los servicios de computación en la nube para reemplazar algunos [productos de seguridad]", recomienda Straus.

Forrester Research informa que el 28 por ciento de las empresas que pasan a los servicios de seguridad administrados en la nube lo hacen para reducir costos. Aunque el correo electrónico y el filtrado web son los servicios de seguridad administrados más populares en la actualidad, Forrester proyecta que más empresas se trasladarán a la nube para la evaluación de la vulnerabilidad y el monitoreo de eventos también.

Uso de la capacidad intelectual en lugar de comprar herramientas

Pero para las empresas que quieren mejorar su postura de seguridad sin gastar dinero, tomarse el tiempo para promover un programa de concientización sobre la seguridad de la información puede ser muy rentable, según Straus. "Esa es una de las cosas más fáciles y efectivas que puede hacer y cuesta muy poco".

Straus dice que hizo esto en dos fases en su organización, un proveedor de préstamos estudiantiles. Primero, comenzó con una presentación masiva que describía buenas prácticas de seguridad para sus usuarios. A continuación, siguió con las reuniones departamentales, que describió como más una discusión de dos vías. "Puedo hacer que los empleados compartan conmigo algunos de los riesgos y posibles dificultades", dijo. "Esas reuniones son muy beneficiosas". Los analistas dicen que recortar los procesos manuales es una manera en que las empresas inteligentes pueden reducir los costos y reorientar los recursos del personal. Afortunadamente, muchas tiendas de TI no se ven obligadas a tomar decisiones difíciles. aún sobre dónde cortar los gastos de seguridad. Forrester Research dice que la seguridad obtendrá un porcentaje ligeramente mayor de dólares de presupuesto de TI este año - en promedio, 12.6 por ciento del gasto total de TI, comparado con 11.7 por ciento en 2008. Pero debido a que se espera que los presupuestos de TI caigan 3.1 por ciento en 2009, eso es un gran salto en términos relativos.