一项新的调查表明,闲置软件成为企业日益严重的问题,而这通常由于IT部门缺乏时间和资源所导致。专家们看到各种不同的原因,警告小企业需要更加小心、以避免浪费的安全软件采购。
根据Osterman研究公司代表安全合规厂商Trustwave进行的这项调查,多数组织在2014年安全软件支出更多——2014年每用户115美元,相较2013年每用户80美元—但是新支出的大多数(33美元)正被投资于那些不是未能发挥实际效用就是压根没被用过的软件。
Josh Shaul是Trustwave公司负责产品管理的副总裁,Trustwave总部在芝加哥。他认为虽然这项调查专门评估安全相关产品,但闲置不用的问题并不局限在信息安全行业。
“这并不是行业特有的问题,它事实上看起来相当普遍。”Shaul如是说。
这份来自IT决策者的调查答复将闲置不用问题归咎于时间和资源的缺乏。在受访者中,35%认为IT部门太繁忙而未能正确实施已购买的软件,而33%提及IT部门没有足够的员工。报告的其他问题则包括对软件缺乏理解(19%);缺乏技术培训(17%);以及对问题理解不够(12%)。
组织需要良好沟通
这些问题的原因尚不清晰,但是Shaul相信部分问题是企业内部的沟通问题以及不同的团队不是未能正确理解安全威胁就是不了解已采购的软件。他认为,同一组织内的安全团队和运营团队间存在理解的鸿沟,从而导致双方就应对安全威胁的***方式存在分歧。
此外,安全团队购买软件也许来自上级管理的强制要求,以显得积极主动,即使管理层也许并不一定理解某一特定安全威胁或者有效响应的必需措施。
Osterman研究的董事长Michael Osterman认为,发生这种情况是因为安全专家向管理层解释潜在威胁时存在困难。管理层更愿意在事件发生后要求对威胁做出响应而不是事前同意预防性开支。Osterman呼吁公司应更为主动积极,但是他也承认IT团队对威胁进行优先级排序时存在困难。
“在许多组织中IT部门倾向于去救火,而没有时间去了解全局,” Osterman认为,“网络安全罪犯在开发新技术上非常活跃。这些坏家伙技术精通且资金充足,而中小企业的IT部门不一定能跟上,并且即使当他们可以时,也很难说服管理层为风险买单。”
这可能是被报导的闲置问题的***原因,涉及到已安装的安全软件未能发挥实际效用地在工作。因为IT部门通常可能被牵引至如此众多的方向,如策略管理以及策略引擎升级这样的日常维护工作则可能被忽略。Osterman建议帮助缓解这个问题的办法是在组织内进行更好的终端用户教育。如果员工能更多意识并怀疑到网站钓鱼骗术,那么这将意味着IT部门能花更少的时间处理那些小的问题从而有更多时间聚焦在重要问题上。
规模更小的企业怎么办?
Shaul和Osterman都认为,闲置问题在任何规模的组织都存在,但是小企业会有额外的烦恼,尤其涉及到成本。
这项调查表明,以每用户33美元正被花费到表现不佳或未被使用的安全软件上来算,一个500用户的组织将有超过1万6千美元的安全软件投资被浪费掉。这将更多影响到小企业,因为他们不能充分利用规模经济,且最终在安全软件上将开支更大—每用户157美元—高于大企业(73美元)。
Shaul认为中小企业也许有机会形成产业利益集团以增加整体购买力并降低这些成本,但是Shaul和Osterman都同意最容易的选项将是通过云服务或者可管理的安全服务提供商(MSSP)谋求外部帮助。
“小企业知道最基础需要做的事情,但在专业知识上需要更多帮助,” Osterman认为。“在处理敏感用户数据时,他们更多倾向于依赖咨询公司,本身也没有处理特定问题的专家,包括诸如PCI一类的合规要求问题。”
Shaul认为,聘用一位内部专家对中小企业来说更为昂贵。他们不得不支付相对高的成本来聘用IT员工并正确部署软件。***,中小企业会更倾向于更具成本效益的外部资源合作。
这项调查看起来表明了一种方向上的趋势,79%的受访者认为移动到云端或可管理服务可对消除闲置问题产生影响。根据这项调查,采用云或者可管理安全服务的用户数在2015年可能增加43%。越多公司求助于这些解决方案,也就意味着越少的安全软件被闲置。