一項新的調查表明,閑置軟體成為企業日益嚴重的問題,而這通常由于it部門缺乏時間和資源所導緻。專家們看到各種不同的原因,警告小企業需要更加小心、以避免浪費的安全軟體采購。
根據osterman研究公司代表安全合規廠商trustwave進行的這項調查,多數組織在2014年安全軟體支出更多——2014年每使用者115美元,相較2013年每使用者80美元—但是新支出的大多數(33美元)正被投資于那些不是未能發揮實際效用就是壓根沒被用過的軟體。
josh shaul是trustwave公司負責産品管理的副總裁,trustwave總部在芝加哥。他認為雖然這項調查專門評估安全相關産品,但閑置不用的問題并不局限在資訊安全行業。
“這并不是行業特有的問題,它事實上看起來相當普遍。”shaul如是說。
這份來自it決策者的調查答複将閑置不用問題歸咎于時間和資源的缺乏。在受訪者中,35%認為it部門太繁忙而未能正确實施已購買的軟體,而33%提及it部門沒有足夠的員工。報告的其他問題則包括對軟體缺乏了解(19%);缺乏技術教育訓練(17%);以及對問題了解不夠(12%)。
組織需要良好溝通
這些問題的原因尚不清晰,但是shaul相信部分問題是企業内部的溝通問題以及不同的團隊不是未能正确了解安全威脅就是不了解已采購的軟體。他認為,同一組織内的安全團隊和營運團隊間存在了解的鴻溝,進而導緻雙方就應對安全威脅的最佳方式存在分歧。
此外,安全團隊購買軟體也許來自上級管理的強制要求,以顯得積極主動,即使管理層也許并不一定了解某一特定安全威脅或者有效響應的必需措施。
osterman研究的董事長michael osterman認為,發生這種情況是因為安全專家向管理層解釋潛在威脅時存在困難。管理層更願意在事件發生後要求對威脅做出響應而不是事前同意預防性開支。osterman呼籲公司應更為主動積極,但是他也承認it團隊對威脅進行優先級排序時存在困難。
“在許多組織中it部門傾向于去救火,而沒有時間去了解全局,” osterman認為,“網絡安全罪犯在開發新技術上非常活躍。這些壞家夥技術精通且資金充足,而中小企業的it部門不一定能跟上,并且即使當他們可以時,也很難說服管理層為風險買單。”
這可能是被報導的閑置問題的最大原因,涉及到已安裝的安全軟體未能發揮實際效用地在工作。因為it部門通常可能被牽引至如此衆多的方向,如政策管理以及政策引擎更新這樣的日常維護工作則可能被忽略。osterman建議幫助緩解這個問題的辦法是在組織内進行更好的終端使用者教育。如果員工能更多意識并懷疑到網站釣魚騙術,那麼這将意味着it部門能花更少的時間處理那些小的問題進而有更多時間聚焦在重要問題上。
規模更小的企業怎麼辦?
shaul和osterman都認為,閑置問題在任何規模的組織都存在,但是小企業會有額外的煩惱,尤其涉及到成本。
這項調查表明,以每使用者33美元正被花費到表現不佳或未被使用的安全軟體上來算,一個500使用者的組織将有超過1萬6千美元的安全軟體投資被浪費掉。這将更多影響到小企業,因為他們不能充分利用規模經濟,且最終在安全軟體上将開支更大—每使用者157美元—高于大企業(73美元)。
shaul認為中小企業也許有機會形成産業利益集團以增加整體購買力并降低這些成本,但是shaul和osterman都同意最容易的選項将是通過雲服務或者可管理的安全服務提供商(mssp)謀求外部幫助。
“小企業知道最基礎需要做的事情,但在專業知識上需要更多幫助,” osterman認為。“在處理敏感使用者資料時,他們更多傾向于依賴咨詢公司,本身也沒有處理特定問題的專家,包括諸如pci一類的合規要求問題。”
shaul認為,聘用一位内部專家對中小企業來說更為昂貴。他們不得不支付相對高的成本來聘用it員工并正确部署軟體。最後,中小企業會更傾向于更具成本效益的外部資源合作。
這項調檢視起來表明了一種方向上的趨勢,79%的受訪者認為移動到雲端或可管理服務可對消除閑置問題産生影響。根據這項調查,采用雲或者可管理安全服務的使用者數在2015年可能增加43%。越多公司求助于這些解決方案,也就意味着越少的安全軟體被閑置。
作者:michael heller
來源:51cto