你的企业有多少安全软件只是“摆设”?

日期:2015-2-5作者:Michael Heller

【TechTarget中国原创】

一项新的调查表明,闲置软件成为企业日益严重的问题,而这通常由于IT部门缺乏时间和资源所导致。专家们看到各种不同的原因,警告小企业需要更加小心、以避免浪费的安全软件采购。

根据Osterman研究公司代表安全合规厂商Trustwave进行的这项调查,多数组织在2014年安全软件支出更多——2014年每用户115美元,相较2013年每用户80美元—但是新支出的大多数(33美元)正被投资于那些不是未能发挥实际效用就是压根没被用过的软件。

Josh Shaul是Trustwave公司负责产品管理的副总裁,Trustwave总部在芝加哥。他认为虽然这项调查专门评估安全相关产品,但闲置不用的问题并不局限在信息安全行业。

“这并不是行业特有的问题,它事实上看起来相当普遍。”Shaul如是说。

这份来自IT决策者的调查答复将闲置不用问题归咎于时间和资源的缺乏。在受访者中,35%认为IT部门太繁忙而未能正确实施已购买的软件,而33%提及IT部门没有足够的员工。报告的其他问题则包括对软件缺乏理解(19%);缺乏技术培训(17%);以及对问题理解不够(12%)。

组织需要良好沟通

这些问题的原因尚不清晰,但是Shaul相信部分问题是企业内部的沟通问题以及不同的团队不是未能正确理解安全威胁就是不了解已采购的软件。他认为,同一组织内的安全团队和运营团队间存在理解的鸿沟,从而导致双方就应对安全威胁的最佳方式存在分歧。

此外,安全团队购买软件也许来自上级管理的强制要求,以显得积极主动,即使管理层也许并不一定理解某一特定安全威胁或者有效响应的必需措施。

Osterman研究的董事长Michael Osterman认为,发生这种情况是因为安全专家向管理层解释潜在威胁时存在困难。管理层更愿意在事件发生后要求对威胁做出响应而不是事前同意预防性开支。Osterman呼吁公司应更为主动积极,但是他也承认IT团队对威胁进行优先级排序时存在困难。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Michael Heller
Michael Heller

SearchSecurity高级记者。

设备安全策略>更多

  • USB Killer3是如何通过USB连接损坏设备的?

    USB Killer设备能够通过USB输入摧毁系统,且其既可用又便宜。那么USB Killer3是如何工作的?企业又该如何防御这种威胁呢?

  • 打脸不?美法院要求苹果留iPhone后门

    最近最让IT安全圈打脸和长脸的当属同一件事,美法院下令苹果提供‘破解一个锁定的iPhone’的方法以帮助执法,而苹果CEO库克则表示“他是拒绝的”,他表示这是政府过度干预,傲娇的库克怎能忍受。

  • 联软科技 “构建可控互联世界”之路

    近年来,国内很多安全厂商蓬勃发展,有国家政策倾斜的因素,同时也缘于他们比国际厂商更贴近用户,能够随时根据用户需要,制定适合的解决方案。联软科技便是其中一员。

  • 汇总:虚拟环境下的网络安全模式

    企业考虑虚拟环境中企业网络安全时,或者使用虚拟化来提供安全服务时,可以选择物理设备模式、虚拟设备模式或者组合模式。

相关推荐

技术手册>更多

  • 如何使用无线IDS/IPS

    本专题可以帮助理解在无线网络中,无线入侵检测/防御系统(WIDS/WIPS)的价值,及时您所在的公司不支持无线局域网。此外,本专题还将介绍如何为公司环境选择合适的WIDS,以及如何防御无线拒绝服务攻击。

  • Nessus指南手册

    假如你正在寻找一个漏洞扫描器,你可能已经遇到了大量的非常昂贵的商业解决方案,这些方案都有一长串的性能和优点。不幸的是,如果你和我们之中大部分人的情况一样的话,你一般根本没有运行这些奇特的系统的预算。你可能已经退而求其次,转向考虑使用像SATAN或Saint的免费工具。然而,你可能觉得使用这些工具是一种折衷的办法,因为它们的性能设置不能与商业解决方案相比。这时候你就应该学会使用Nessus! 2005年12月Nessus背后的公司Tenable Network Security Inc.发布了Nessus 3,引进了对该产品的全面检查。在写这篇文章时候的最近版本,Nessus 3.2是在2008年3月发布的。Nessus现在可以在多种平台上使用,包括Windows、各种版本的Linux、FreeBSD、Solaris和Mac OS X。以下是这次Nessus3中的重大变化: 下面将介绍如何使用Nessus工具以及Nessus工具的更新。

  • 配置IPS 主动保护网络安全

    入侵防御系统(Intrusion Prevention System,IPS)是这段时间网络安全业内比较热门的一个词,这种既能及时发现又能实时阻断各种入侵行为的安全产品,自面世那天起,就受到各大安全厂商和用户的广泛关注。本指南将帮助你深入了解IPS,并介绍专家对IPS未来的预测。

  • 企业风险管理教程

    如今,云计算等技术改变了企业应用信息系统、以及如何达到安全风险管理和合规遵从的方式,企业需要重新计划并部署自己的风险管理。那么究竟该如何制定安全风险管理计划?

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算
【TechTarget中国原创】

一项新的调查表明,闲置软件成为企业日益严重的问题,而这通常由于IT部门缺乏时间和资源所导致。专家们看到各种不同的原因,警告小企业需要更加小心、以避免浪费的安全软件采购。

根据Osterman研究公司代表安全合规厂商Trustwave进行的这项调查,多数组织在2014年安全软件支出更多——2014年每用户115美元,相较2013年每用户80美元—但是新支出的大多数(33美元)正被投资于那些不是未能发挥实际效用就是压根没被用过的软件。

Josh Shaul是Trustwave公司负责产品管理的副总裁,Trustwave总部在芝加哥。他认为虽然这项调查专门评估安全相关产品,但闲置不用的问题并不局限在信息安全行业。

“这并不是行业特有的问题,它事实上看起来相当普遍。”Shaul如是说。

这份来自IT决策者的调查答复将闲置不用问题归咎于时间和资源的缺乏。在受访者中,35%认为IT部门太繁忙而未能正确实施已购买的软件,而33%提及IT部门没有足够的员工。报告的其他问题则包括对软件缺乏理解(19%);缺乏技术培训(17%);以及对问题理解不够(12%)。

组织需要良好沟通

这些问题的原因尚不清晰,但是Shaul相信部分问题是企业内部的沟通问题以及不同的团队不是未能正确理解安全威胁就是不了解已采购的软件。他认为,同一组织内的安全团队和运营团队间存在理解的鸿沟,从而导致双方就应对安全威胁的最佳方式存在分歧。

此外,安全团队购买软件也许来自上级管理的强制要求,以显得积极主动,即使管理层也许并不一定理解某一特定安全威胁或者有效响应的必需措施。

Osterman研究的董事长Michael Osterman认为,发生这种情况是因为安全专家向管理层解释潜在威胁时存在困难。管理层更愿意在事件发生后要求对威胁做出响应而不是事前同意预防性开支。Osterman呼吁公司应更为主动积极,但是他也承认IT团队对威胁进行优先级排序时存在困难。

“在许多组织中IT部门倾向于去救火,而没有时间去了解全局,” Osterman认为,“网络安全罪犯在开发新技术上非常活跃。这些坏家伙技术精通且资金充足,而中小企业的IT部门不一定能跟上,并且即使当他们可以时,也很难说服管理层为风险买单。”

这可能是被报导的闲置问题的最大原因,涉及到已安装的安全软件未能发挥实际效用地在工作。因为IT部门通常可能被牵引至如此众多的方向,如策略管理以及策略引擎升级这样的日常维护工作则可能被忽略。Osterman建议帮助缓解这个问题的办法是在组织内进行更好的终端用户教育。如果员工能更多意识并怀疑到网站钓鱼骗术,那么这将意味着IT部门能花更少的时间处理那些小的问题从而有更多时间聚焦在重要问题上。

规模更小的企业怎么办?

Shaul和Osterman都认为,闲置问题在任何规模的组织都存在,但是小企业会有额外的烦恼,尤其涉及到成本。

这项调查表明,以每用户33美元正被花费到表现不佳或未被使用的安全软件上来算,一个500用户的组织将有超过1万6千美元的安全软件投资被浪费掉。这将更多影响到小企业,因为他们不能充分利用规模经济,且最终在安全软件上将开支更大—每用户157美元—高于大企业(73美元)。

Shaul认为中小企业也许有机会形成产业利益集团以增加整体购买力并降低这些成本,但是Shaul和Osterman都同意最容易的选项将是通过云服务或者可管理的安全服务提供商(MSSP)谋求外部帮助。

“小企业知道最基础需要做的事情,但在专业知识上需要更多帮助,” Osterman认为。“在处理敏感用户数据时,他们更多倾向于依赖咨询公司,本身也没有处理特定问题的专家,包括诸如PCI一类的合规要求问题。”

Shaul认为,聘用一位内部专家对中小企业来说更为昂贵。他们不得不支付相对高的成本来聘用IT员工并正确部署软件。最后,中小企业会更倾向于更具成本效益的外部资源合作。

这项调查看起来表明了一种方向上的趋势,79%的受访者认为移动到云端或可管理服务可对消除闲置问题产生影响。根据这项调查,采用云或者可管理安全服务的用户数在2015年可能增加43%。越多公司求助于这些解决方案,也就意味着越少的安全软件被闲置。