问题是，为什么企业的安全预算不断上升，但他们仍没有得到他们所预期的效果呢?“许多企业都迷恋于购买最新潮的东西，无论其对于他们的特定的安全需求是否是最明智的。”The Blackstone Group首席信息安全官Jay Leek表示。

　　这项针对9600位企业高管的第11届年度全球信息安全调查还发现，企业单次事故所造成损失超过1000万美元的数量高达75%。相关违规的费用也在上涨，较之2012年，2013年数据破坏上升了9%。

　　可以肯定的一点是，许多企业并没有把钱花在刀刃上，他们并不是采购了最适合的解决方案以帮助发现高级的攻击者，如选择恶意软件分析(只有51 %的企业这样做了)，网络流量的检查(占41%)，恶意设备比例检查(34%)，深度包检测(27%)，或安全风险威胁建模(21%)。

　　鉴于上述列出的所有的数据，您如何确定您企业所增加的安全预算都被用在了合适的地方?

　　合适的员工

　　首先，确保您的安全人员团队都是最好的。

　　“要弄清楚您安全团队是否人手不足或臃肿是相当棘手的。”SANS协会新兴安全趋势主管John Pescatore说。如果您企业有10个防火墙，有多少全职员工来管理它们?如果您企业有三个员工来管理10个防火墙，要么就是您企业的防火墙管理经理真的很糟糕，要么您应该考虑投资工具，以便让一个员工就可以管理10个防火墙。”他说。

　　评估安全团队人员的一个方法是，看看安全团队有多少全职人员，以及其占到企业IT团队总数的百分比。另一个是拿您企业安全人员/一般IT人员的比例，与您企业所属行业的同行进行比较。Pescatore说。这是一个很好的方法。一定要考虑有多少全职员工的工作可以通过外包来安排，如防火墙的管理与监控。”他解释说。

　　而安全专业人员的不足可能会导致企业最终推动无安全担保项目的投产，无法正确响应事件，或适当地保持一个健康的安全程序。这意味着那些安全人员有可能经常从一个紧急状况调配到处理下一个紧急状况。

　　而当涉及到安全性预算支出，至少在未来几年内，进行人力资本投资仍将是明智的，企业仍然可以找到那些最合格的员工。据IT认证供应商(ISC)2刚刚发布的研究报告显示，去年全球信息安全专业人士的总数约225万。这一数字预计将在未来两年飞跃到425万。据(ISC) 2预期，可能会有47%的合格的安全专业人员职位短缺。

　　据State of the CSO在2013年发现，对于熟练的IT安全专业人士的需求已经出现紧张，企业正在积极吸引顶级安全人才。大公司最有可能增加其安全性资源，42 %的企业正在规划增加人员，相对于中型企业和小型企业的比例分别为37%和26%。事实上，寻找和留住熟练的IT安全人员被确定为31%的大公司最大的挑战之一。

　　另一种方法最大限度地提高安全预算的方法是确保预算是与当前的安全需求和应用程序尽可能的相匹配。“我们看到有许多企业将采购的很多安全解决方案束之高阁。” 451集团安全分析师Javvad Malik说。“我们最近进行的一项调查显示，没有一个受访者表示他们有适当的流程来实际淘汰旧的IT安全产品。 ”

　　可以预见，年复一年的，这些企业会不断采购新的安全应用程序，但过一段时间又会弃之不用，即使这些的安全应用程序并不是在生产中使用。“他们是害怕这可能会影响一些东西，或者担心其过于嵌入到自己的程序，即使他们没有从应用程序得到任何价值，他们又再一次的将其弃之不用了，这一切只是在浪费他们的钱。他说。虽然这听起来很明显，但确实有很多企业没有这样做：停止那些所有可以被停止的安全设备和软件应用程序。

　　Akamai Technologies公司首席安全官Andy Ellis说，企业购买了安全设备，但却不具备专业知识的人员来维护，或者未预留的培训预算的不幸全太常见了。Ellis建议，在购买相关的SIEM、Web应用防火墙软件或恶意软件取证分析软件之前，企业管理者需要思考如下一组问题。

　　您企业是否有人知道如何使用这个系统?

　　难道他们能胜任该系统的安装，使用和维护吗?

　　系统实际上是否有效果?

　　而其中只要有一个否定的回答，即表明您企业不应该购买，而一个肯定的回答并不意味着预算是一个合理的部署。但是如果所有这三个问题的答案企业管理者都无法给出肯定回答，那么您企业如果采购该方案无疑是在浪费钱。有多少SIEM并未发挥任何作用，就是因为企业没有操作员。”Ellis说。

　　Blackstone的Leek认为，多年来，许多企业已经花费了大量的资金用于安全防御技术，但却并未对相关的安全事件做出很好的响应。“不管您企业花了多少钱用于安全防御技术，或者说您企业的安全防御工作做得多么好，又或者说是您企业在制定安全预算方面有多么的明智，而如果您企业并没有对相关的安全事件做出足够的公司反应能力投资，您都将会有遭到安全攻击的风险。其结果就是一旦安全威胁事件发生，企业很少有能力使自己幸免遇难，他说。

　　鉴于大多数企业在防御技术与安全事件响应方面的投资花费严重不成比例，我们鉴于企业务必将对安全事件的响应方面增加预算，这样听起来才像是最好的一项预算投资。

　　责任编辑：余芯