隨著信息安全的概念日益普及，企業IT部門也紛紛希望加強自己公司的信息安全。但隨著經濟不景氣，往往囊中羞澀的預算使得加強信息安全成為了一句空話。隨著管理層不斷減少IT和信息安全項目的預算，IT人員必須學習如何充分利用有限的資金來加強安全性。

現實情況是，在當今經濟環境下，信息安全人員必須以較少的資金做更多的事情，甚至往往沒有足夠的內部人員來支持企業的業務要求。那么，在這種情況下，我們該如何保護信息安全?這里我們將為大家提供五個訣竅來充分利用有效的資金，實現少花錢多辦事。

秘訣1：共同承擔責任

在企業內部主要有幾個不同的部門承擔著信息安全的責任，因此在召開信息安全會議時，與會者必須包含這些部門的代表。

首先需要確定除信息安全部門外與信息安全相關的部門，例如審計、IT、人力資源和法律，以確?，F有的信息安全計劃是否符合他們的要求，并加以鞏固。你需要盡可能地說明你的需要和要求，然后看看其他部門如何規劃以滿足他們的要求，最佳狀態就是利用各部門的資源來實現共同的目標。

例如，如果你有一個PCI(支付卡行業)計劃，那么你知道需要對哪些人進行培訓來執行外部滲透測試嗎?你不需要雇傭外部人員來滿足11.3要求，你只需要確保公司員工能夠準確檢查環境，然后與PCI審查員以及內部審計組協作來確定他們能否接受報告。這樣可以盡可能多的為應用安全測試或者需要專業支持的項目節省成本。

秘訣2: 雇傭需要的專業人員，而不是可能有用的人

很多企業認為一次性花費(購買技術)能夠解決問題，但是實際上，集成、部署、培訓和維護都是非常昂貴的。

如果你不具備內部專業人員來支持你所購買的軟件，那么為什么不考慮雇傭具備專業技術的外部公司來維護系統軟件呢?至少，你可以從他們的操作中學習信息安全相關專業技術，以便更好的規劃未來解決方案。

讓我們以內部掃描需求作為一個例子。根據PCI DSS的要求，你可能需要一臺掃描儀來滿足要求，但是，可能沒有專業的人員來運行和維護掃描儀，擁有技術往往只是成功的一半

業務要求依然存在，但是企業卻沒有專業人員來操作設備，企業在購買掃描儀前可以嘗試外包掃描一年來評估所有的解決方案，這樣可以幫助企業評估長期業務要求和檢查企業是否能夠利用內部解決方案(這個例子中是指掃描儀)或者管理安全服務供應商(MSSP)提供最佳業務支持，同時還可以讓企業繼續將重點放在業務需求上。

秘訣3: 選擇合適的信息安全管理服務供應商

管理安全服務供應商能夠明確如何滿足企業業務目標，并證明其解決方案滿足企業業務需求和節省成本。任何管理信息安全服務供應商都能夠為企業創造價值，詳細列明方法和技術策略的建議都能夠滿足企業特定要求。

不要試圖讓你的業務滿足MSSP的要求，挑選一個能夠滿足你要求的MSSP。企業的成功將來自于是否能夠為企業需求挑選最佳解決方案，這意味著解決方案必須有明確的規劃圖，才能夠讓企業專注于業務。外包必須外包的技術，利用外部MSSP和顧問來為企業創造最大價值。

秘訣4:聘請一個合作伙伴，而不是供應商

你需要與外部公司建立合作伙伴關系，此外部公司必須能夠提供你所需要的解決方案，并能幫助你進行未來規劃。選擇合適的外部公司，要求他們展示技術深度，以及未來規劃，這樣你就可以確定他們的未來規劃是否滿足你的要求。

秘訣5: 提供技術和信息安全培訓的資金支持

員工需要知道他們在企業的價值，這也是大多數信息系統和安全專業人員所認可的，所以你需要積極創造培訓機會，利用網絡培訓和本地ISSA會議，為CISSP(認證信息系統安全人員)或者其他專業服務政府建立學習小組，進行內部午休學習時間。鼓勵員工不斷學習技術和安全知識，并給予他們足夠的時間學習。

預算消減并不是信息安全的噩夢，我們應該要努力研究如何利用有限的資金來加強信息安全，才不至于讓企業系統淪為攻擊者的“獵物”。

【編輯推薦】

1. Web安全漏洞之企業自查
2. Web應用防火墻的主要特性
3. 兩種策略選擇開源安全產品
4. 數據泄露的七種主要途徑
5. 保護數據安全的三種武器