最近有许多人讨论IT安全是否能免疫经济衰退。答案是否定的。

　　最新的关于IT安全与经济衰退的故事来自《SC》杂志的文章《安全能免疫经济衰退吗》。

　　该文章没有提供结论，看上去只是总结安全具有免疫经济衰退的强烈“可能”。

　　文章的大部分在关注经济模型的需求方面：安全攻击正在增加，合规不会消失，而且公司将越来越多地强调安全投资的回报。

　　我对此都无异议。

　　安全攻击确实在增加，合规的需求无疑也将升高，公司也需要为他们的安全预算寻找理由。但这些条件在经济衰退开始之前，也就是2007年12月之前就有了。

　　让我们引用一下Guardium公司的Phil Neray的观点：

　　Guardium公司是一家位于马萨诸塞州沃尔瑟姆的数据库安全公司，该公司战略副总裁Phil Neray认为，大多数企业，特别是金融服务企业，显然必须保障其数据的完整性。但是，他补充道，当情况变得糟糕时，公司会想着怎么才能花小钱办大事，“如果你能用自动化流程替代手工流程，CFO就很有可能通过你的预算。”他说。

　　他表示，当安全人员可能不习惯和人争论投资回报率，以使预算得到批准的时候，尽量概述一个自动化、集中化，设备化的方法是如何替代许可证、日志文件的海量存储，以及雇佣来处理这些文件的第三方人员的，要有具备说服力的案例。

　　他是对的。业务和安全专业人士总是寻求改进流程的方法，同时要“少花钱多办事”。而且，安全管理人员已经成为任何收购中不可缺少的人。当业务和安全部门一直以这种方式紧密合作，当经济不佳时大家做事就可以很顺。但如果你急于在目前的情况下增加自动化水平，同时又要降低成本，那就太晚了。

　　这时，你唯一的希望就是你的竞争对手未能精简业务部门，而你已经做到了。这是很糟糕的处境，因为你已经把命运交给了竞争者。

　　我想说的一点是，如果你已经尽可能自动化，合理授权，精简浮员，那么现在你就可以坐享其成了。

　　那么现在，安全是否能免疫经济衰退呢，当然不是了。

　　如果业务行动停顿了或者减少了，那么与这些业务关联的安全当然也一样。

　　如果新的招聘减少了，那么需要管理的职员身份也一样。

　　如果新的外地办事处没有建立，就也没必要再去保护和监控那些地方的网络了。

　　如果新的应用开发已受到限制，因此应用安全分析也同样的减少。

　　但是，虽然IT安全的增长率将随着业务的IT需求削减而放缓，但所有上述讲的这些东西都将需要维持现有的基础设施。而且，对于那些能够帮助业务更有效率的IT安全供应商和员工来说，机会永远存在。

　　因此，尽管IT安全不会“经济衰退免疫”，但它比其他业务领域更具抗拒衰退的弹性。