在我25年以上,我见过外包/生产钟摆来回摇摆。流行的观点赞成外包组织是它可以节省美元的所有权的总成本。以我的经验来看,这并非总是如此。但是现在Forrester已经完成的一项研究说,外包Security-as-a-Service可以帮助公司节省数百万美元的三年。
Forrester研究委托警报逻辑,云安全管理公司(完全披露:我咨询了预警的逻辑,但没有参与这项研究。虽然这项研究是针对警报日志管理逻辑的解决方案,威胁管理、和web应用程序防火墙(WAF),它可以适用于任何MSSP Security-as-a-Service提供者。
研究表明,在三年内,客户(基于复合预警逻辑的客户)通过Security-as-a-Service将节省136万美元。我自己也总是从像这样的研究对这些数字。但是当你挖,即使back-of-a-napkin基础上,大概是正确的。
它是基于的假设:
Forrester合成复合组织,是一个业务服务公司在全球有12个位置。组织运作两个数据中心提供24 x7 IT服务员工,合作伙伴和2020欧洲杯预赛客户。其数据中2020欧洲杯预赛心位于欧盟和美国。组织有许多web应用程序,其中包括两个面向客户的应用程序提供销售和支持功能。IT团队是精益,组织使用外包服务为各种不同的操作和功能。在过去的几年里,该组织已经开发了新的知识产权(IP),它需要保护客户的机密信息。
他们的安全挑战是:
- 无法跟上不断变化的威胁环境。
- 需要在全球范围内全天候安全监控。
- 无法积极地监控和审查他们的服务器产生的数以百计的日志文件和其他硬件。
- 需要满足监管要求如SOX和PCI。
- 挑战在招募并留住熟练安全工程师和分析师。
你可以看到所有的数学下载报告。底线,最大的成本是没有雇佣全职保安人员和没有购买传统电器和软件许可的三年。也有储蓄从半岛安全团队的有效性和客户将难以维持。
就像我说的,这个分析有关其他MSSPs和Security-as-a-Service提供者。然而,在预警逻辑的情况下,有部分的安全堆栈他们不提供。为了维护,节约成本,将这个复合客户有额外的安全外包给另一个供应商吗?如果没有,他们会被迫雇佣保安人员呢?如果是这样,他们不仅利用他们外包模型?
有一件事是清楚的——在一个时代,我们的基础设施并不是100%在我们的控制中,使用管理安全比以往任何时候都更有意义。内部招聘合格的保安人员是非常昂贵和困难的。如果它不是你的业务核心,你最好将它移交给一个职业。