Pouvez-vous réduire la sécurité de l'information en cas de difficultés?

Bien que certains analystes s'attendent à ce que les dépenses de sécurité augmentent cette année - au moins en pourcentage du total des dépenses informatiques - certains DSI réfléchissent sérieusement à l'idée autrefois impensable »« Nous sommes presque certainement confrontés à des coupures », explique Pete Lindstrom, analyste chez Spire Security, un cabinet d'études spécialisé dans la recherche. «Si vous considérez la sécurité comme un centre de coûts au sein d'un centre de coûts […], alors la sécurité est un excellent point de départ», ajoute-t-il. «Certaines entreprises réduisent leur sécurité afin d'améliorer leurs résultats», déclare Charlie Meister, directeur exécutif de l'Institut pour la protection des infrastructures d'information critiques de l'Université de Californie du Sud. "J'ai vu une réduction significative au cours des six derniers mois", explique Rich Cummings, directeur de la technologie chez HBGary, une société de sécurité qui a des clients dans l'industrie des services financiers.

[Essayant de réduire les coûts informatiques? InfoWorld

révèle 7 idées faciles que vous avez peut-être ignorées.] [Lectures supplémentaires: Comment supprimer les logiciels malveillants de votre PC Windows]

Le risque de réduire la sécurité est qu'une faille de sécurité peut être désastreuse. Le Ponemon Institute estime le coût moyen d'une violation de données à 6,7 millions de dollars.

Mais vous n'avez peut-être pas le choix si l'argent n'est pas là. Les experts disent que les entreprises qui ont fait le travail difficile de vraiment comprendre leur posture de risque peuvent réduire les dépenses sans augmenter les risques. Et les entreprises qui ont pris la sécurité au sérieux peuvent être tout aussi intelligentes sur la façon dont elles réduisent leurs coûts de sécurité, dit Meister de l'USC. Malheureusement, note-t-il, les entreprises qui occupent ce poste sont exceptionnelles: «Je ne pense pas qu'un nombre suffisant d'entreprises aient fait un excellent travail de gestion de leur profil de risque, et cela ne leur arrive vraiment pas jusqu'à ce que quelqu'un perde un ordinateur portable. "

Comment réduire la sécurité en toute sécurité?

Une méthode consiste à obtenir votre intelligence de sécurité à partir de projets libres, comme le projet Shadowserver, plutôt que de payer pour l'information, dit Cummings.

Outils open source préserver la sécurité, réduire les coûts

L'utilisation de logiciels open source peut également être un excellent moyen de réduire les coûts de sécurité, en particulier pour les petites et moyennes entreprises, explique Lindsey Spire. Ils permettent aux entreprises d'obtenir des outils de sécurité équivalents pour moins d'argent. "Si le produit est assez banalisé et que vos employés sont suffisamment qualifiés, il n'est pas déraisonnable de considérer les applications open source à ce stade du jeu." Par exemple, le logiciel anti-virus ClamAV et le système de détection d'intrusion Snort sont deux produits antivirus open source largement utilisés, tout comme le logiciel de gestion des événements de sécurité Open Source Security Information Management.

Les entreprises qui n'ont pas les moyens de payer pour un cryptage complet du disque voudront peut-être regarder TrueCrypt, une autre projet source. Parce qu'il manque de capacités de gestion centralisées, TrueCrypt ne sera pas adapté à tous les environnements, déclare Morey Straus, responsable de la sécurité de l'information à la Fondation d'aide à l'enseignement supérieur du New Hampshire, mais cela fonctionne pour certains. le cloud

Pour les organisations à court d'argent, le fait de déplacer des processus de sécurité hors de la maison peut être un moyen d'économiser de l'argent. «Regardez les services de cloud computing pour remplacer certains [produits de sécurité]», recommande Straus.

Forrester Research rapporte que 28% des entreprises qui migrent vers des services de sécurité gérés dans le cloud le font pour réduire leurs coûts. Bien que le courrier électronique et le filtrage Web soient aujourd'hui les services de sécurité gérés les plus populaires, Forrester prévoit que davantage d'entreprises migreront vers le cloud pour l'évaluation de la vulnérabilité et la surveillance des événements. Utilisation de la cervelle au lieu des outils

Mais pour les entreprises qui veulent améliorer leur sécurité sans dépenser d'argent, prendre le temps de promouvoir un programme de sensibilisation à la sécurité de l'information peut rapporter gros, selon Straus. «Ce n'est que l'une des choses les plus faciles et les plus efficaces que vous pouvez faire et cela coûte très peu.»

Straus dit qu'il l'a fait en deux phases à son organisation, un fournisseur de prêts aux étudiants. D'abord, il a commencé avec une présentation de masse décrivant les bonnes pratiques de sécurité pour ses utilisateurs. Il a ensuite suivi les réunions ministérielles, qu'il a décrites comme étant davantage une discussion bidirectionnelle. "Je suis capable d'amener les employés à partager avec moi certains des risques et des pièges possibles", a-t-il dit.

Les analystes disent que la réduction des processus manuels est un moyen pour les entreprises intelligentes de réduire les coûts et de recentrer les ressources en personnel.

Heureusement, de nombreux magasins informatiques ne sont pas obligés de prendre les décisions difficiles encore à propos de l'endroit où réduire les dépenses de sécurité. Forrester Research indique que la sécurité bénéficiera d'un pourcentage légèrement plus élevé de budget informatique cette année - en moyenne, 12,6% des dépenses informatiques totales, contre 11,7% en 2008. Mais comme les budgets informatiques devraient baisser de 3,1% en 2009, c'est un grand saut en termes relatifs.