Computerworld News Service: It-sikkerhedscheferne er nødt til at vende tilbage til de gamle dyder for at kunne skære ned i omkostningerne.
Paul Dorey, som er direktør i Security Faculty, som tilbyder træning og udvikling af it-sikkerhedschefer, erkender, at det er "virkelig svære" tider for sikkerhedsfolk, som står over for udfordringen at bekæmpe det stigende antal datatyverier og malware-trusler samtidig med at skulle skære i budgetterne.
De interne trusler vokser også, særligt i forhold til utilfredse fyrede medarbejdere, påpeger han. Næsten to tredjedele af ansatte erkender at have stjålet data, når de har forladt deres job, viser undersøgelser.
"Vi i it-sikkerhedsbranchen har alle været lidt dovne, når der ikke har manglet penge. Vi har implementeret software og aldrig brugt det, vi har endda købt software og aldrig implementeret det," indrømmer han til et publikum af it-sikkerhedschefer ved Forrester EMEA Security Forum i London.
"Nu er pengene væk, og vi er nødt til at stramme op."
Det er ifølge Dorey nødvendigt for it-sikkerhedscheferne at fokusere på effektivitet, automatisering af processer, standardisering og centralisering, hvor end det er muligt.
Mange af talerne ved konferencen havde fokus på at opretholde sikkerheden på trods af strammere budgetter.
"Vi er nødt til at foretage nedskæringer og fjerne enhver overlapning i vores systemer. Overvej security-as-a-service, som fjerner alle omkostninger til infrastruktur og servere," siger han.
Han fremhæver endda, at virksomheder kan overveje gratis sikkerhedssoftware fra internettet, men at de er nødt til at holde et skarpt øje på juridiske spørgsmål, mangel på support og administrationsspørgsmål.
Hold fokus på det vigtigste
Hen tilføjer, at: "Vi er nødt til at fokusere på det vigtige. Adresserer dine sikkerhedstiltag de vigtigste risici? Reagerer du blot, eller tænker du fremad? Du er nødt til at lægge dine kræfter i at beskytte kronjuvelerne og så tage større risici med de andre aktiver."
Han råder it-sikkerhedschefer til at gøre plads i budgetterne ved at flytte funktioner, der ikke er direkte relaterede til sikkerhed, til andre afdelinger, eksempelvis det at håndtere folk, der bruger internettet upassende i arbejdstiden. "Er dette mere et HR-problem? Det er det sandsynligvis."
Det er afgørende for it-sikkerhedschefen at forbinde sit arbejde til den øverste ledelses generelle strategi, så "du kan vise, at du gør en forskel."
"Hvis du ikke kender topchefens prioriteringer, er du nødt til at spørge om dem. Det er i topchefens egen interesse - han har ikke lyst til, at sikkerheden kører med bind for øjnene - og hvis du ikke tager hånd om dette, så ved du, hvem der får skylden: Dig selv."
It-afdelingerne - foruden it-sikkerheden - skærer i omkostningerne på mange måder, påpeger han:
"Men de fleste gør arbejdet med sikkerheden sværere."
Heriblandt virtualisering af servere, outsourcing, migrering til open source, konsolidering af leverandører og af infrastruktur samt overgang til cloud computing.
Blandt alle disse omkostningsbesparende metoder skal virksomhederne være meget varsomme med outsourcing af selve sikkerheden, fortæller han. "Folk er den sjældneste ressource, og man har brug for, at de er trænet godt."
"Der er visse sikkerhedsaspekter, der godt kan outsources, men man må under ingen omstændigheder foretage den type outsourcing, hvor man blindt kaster alt over borde og overlader styringen til andre. Ansvaret for sikkerheden ligger fuldt og fast hos dig."
Oversat af Thomas Bøndergaard