Forrester研究公司的一份调查显示，烟草和赌博可能不再是经济衰退的证据，但是，一些大型公司的IT安全预算却在2009年的IT支出中占有更大的比例。数据保护将是企业们在2009年最先考虑的事情，是重中之重。

　　在今后的12个月中，大约有五分之一的安全小组计划试点或采用全盘风险加密、文件类加密、主机入侵防御系统（HIPS）和端点控制。当综合一下使用这些安全技术的企业的百分比，企业对这些技术的采用率将高达50%。

　　研究显示，在2008年就有跳跃的安全预算同时也为部分企业领导带来了意识上的加强：安全是一种业务风险。不过，恢复有安全问题的业务以及确保有足够的资金对于IT部门来说仍然是一个严峻的挑战。并且保护公司的日常负担呢？这些问题几乎存在于IT部门的所有地方，IT安全团队几乎没有时间进行策略规划。

　　“即便是人们已经意识到了安全对于业务的重要性，安全应该重点放在保护数据以及重要的资源上，但是，企业还要对下面的这些问题进行深思熟虑，我们在这方面的支出是多少？我们应该花费在哪些方面？多少资金最合适以及应该展开什么项目？” Forrester公司分析师Jonathan Penn说，他是这份研究报告的主要作者。

　　这次调查是针对942名业务、安全和IT管理人员展开的，这些管理者都是来自那些拥有1000到20000人的公司。这次调查是在2008年的第三季度展开的。

　　尽管说，IT预算总体上出现了下滑，但是安全在IT预算中仍占有很大比重。在这份研究显示，2009年，那些员工超过1000人的公司应该在他们的IT运营预算中拿出12.6%用于安全方面的支出。而在去年，IT预算的这方面支出是11.7%，这也比2007年有了很大的增幅。

　　业务管理者们对于安全即是业务风险的认证取决于报告线的转变。调查显示，由Forrester公司推举的有高于一半的IT安全专家（56%）都来自公司的董事会或者是和CEO/总裁或者是公司管理委员会。尽管安全部门与业务部门需要组织协调，但是在大多数企业中，安全仍然IT的中心工作。

　　调查还显示，对于基础设施安全的责任、身份认证和访问管理，威胁和漏洞管理、法规遵从甚至物理安全等等，在IT安全部门中都有多下降。那些技术性的职责使他们没有更多的时间进行策略研究，Penn说。

　　已经实施的安全策略并没有得到太多的业务部门的支持，仅仅获得一些中性的支持，他说。多于三分之二的受访公司（70%）表示，企业的其他优先项目要凌驾于安全计划之上。

　　“当我看到这些挑战的时候，令我奇怪的是，虽然说有之前的报告线，但是，为安全项目获取足够的管理者支持仍然是个问题，” Penn说。

　　但是，这种脱节只是表明了IT人员以一种业务管理者所理解的方式明确安全投资的价值是多么的困难，他补充说。“他们需要表明这些安全方面的投资会为业务部门带来投资回报，”他说，这是鼓励业务部门帮助制定安全策略和发展用于评估安全ROI战略指标的第一步。