Kan du skära informationssäkerhet i svåra tider och överleva?

Även om vissa analytiker faktiskt förväntar sig att säkerhetsutgifterna stiger i år - åtminstone som en procentandel av de totala IT-utgifterna - ger vissa CIO seriöst tanke på den en gång otänkbara idén av att trimma säkerhetsbudgetar som företag ser ut att sänka kostnaderna under denna globala lågkonjunktur.

"Nästan säkerligen upplever människor nedskärningar", säger Pete Lindstrom, analytiker hos forskningsföretaget Spire Security. "Om du tycker om säkerhet som ett kostnadscenter inom ett kostnadscenter [IT], … då är säkerhet ett bra ställe att börja", tillägger han. "Det finns företag som diskonterar sin säkerhet för att driva botten", säger Charlie Meister, verkställande direktör vid University of Southern California Institute for Critical Information Infrastructure Protection. "Jag har sett en ganska signifikant minskning under de senaste sex månaderna," säger Rich Cummings, CTO hos HBGary, ett säkerhetsföretag som har kunder inom finanssektorn.

[Försöker trimma IT-kostnaderna? InfoWorld avslöjar 7 enkla idéer som du kanske har förbisett.]

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Risken för att sänka säkerheten är att ett säkerhetsbrott kan vara katastrofalt. Ponemon Institute pekar den genomsnittliga kostnaden för en dataövergrepp på 6,7 miljoner dollar.

Men du kanske inte har något val om pengarna inte finns där. Experter säger att företag som har gjort det hårda arbetet med att verkligen förstå riskhantering kan trimma utgifterna utan att öka risken. Och företag som har tagit säkerhet på allvar kan vara lika kloka på hur de minskar sina säkerhetskostnader, säger USC: s Meister. Tyvärr noterar han att de företag som befinner sig i denna position är exceptionella: "Jag tror inte att tillräckligt många företag har gjort ett bra jobb att hantera sin riskprofil. Och det händer inte riktigt för dem, förrän någon förlorar en bärbar dator

Så hur skär du säkerheten säkert?

En metod är att få din säkerhetsinformation från gratis projekt, till exempel Shadowserver-projektet, i stället för att betala för informationen, säger Cummings. bevara säkerhet, trimkostnader

Användningen av öppen källkodsprogram kan också vara ett bra ställe att minska kostnaderna för säkerhet - speciellt för små och medelstora företag, säger Spire Lindstrom. De låter företagen få motsvarande säkerhetsverktyg för mindre pengar. "Om produkten är tillräckligt stor och ditt folk är skickliga nog, är det inte orimligt att i detta skede av spelet överväga öppen källkod," säger han. Till exempel, ClamAV antivirusprogram och Snort intrusion detection system är två ofta använda anti-virusprodukter med öppen källkod, liksom säkerhetshanteringsprogrammet för Open Source Security Information Management.

Företag som inte har pengar att betala för fullständig diskkryptering kanske vill titta på TrueCrypt, en annan öppen källprojekt. Eftersom det saknar centraliserad hanteringskapacitet, kommer TrueCrypt inte att vara lämpligt för alla miljöer, säger Morey Straus, en informationssäkerhetschef med New Hampshire Higher Education Assistance Foundation, men det fungerar för vissa.

Outsourcing-säkerhet till molnet

För kontantsträckta organisationer kan rörliga säkerhetsprocesser ut ur huset vara en spararörare. "Se till cloud computing-tjänsterna för att ersätta några [säkerhetsprodukter]," berättar Straus. Forrester Research rapporterar att 28 procent av företagen som flyttar till moln hanterade säkerhetstjänster gör det för att minska kostnaderna. Även om e-post och webbfiltrering är de mest populära hanterade säkerhetstjänsterna idag, projekterar Forrester att fler företag kommer att flytta till molnet för sårbarhetsbedömning och händelseövervakning också.

Använda hjärnkraft istället för att köpa verktyg

Men för företag som vill förbättra sin säkerhetsställning utan att spendera pengar, kan det vara bra att ta tid att marknadsföra ett informationssäkerhetsmedvetenhetsprogram, säger Straus. "Det är bara en av de enklaste och mest effektiva sakerna du kan göra och det kostar väldigt lite."

Straus säger att han gjorde det i två faser hos sin organisation, en studielånsleverantör. Först började han med en masspresentation som beskriver goda säkerhetspraxis för sina användare. Han följde sedan upp avdelningar, vilket han beskrivit som mer av en tvåvägsdiskussion. "Jag kan få de anställda att dela med mig några av riskerna och möjliga fallgropar," sa han. "Dessa möten är mycket fördelaktiga."

Analytiker säger att nedskärning på manuella processer är ett sätt att smarta företag kan minska kostnaderna och omdirigera personalresurserna.

Lyckligtvis tvingas många IT-butiker inte att fatta de svåra besluten bara än om var man ska minska säkerhetsutgifterna. Forrester Research säger att säkerheten kommer att få en något större andel av IT-budgeten dollar i år - i genomsnitt 12,6 procent av de totala IT-utgifterna, jämfört med 11,7 procent under 2008. Men eftersom IT-budgeten förväntas minska med 3,1 procent 2009, ett stort hopp i relativa termer.