在美國三藩市舉行的 RSA Conference 2016 上,技術總監 Zulfikar Ramzan 直指,企業花太多資訊安全開支在預防威脅,結果忽略監察和回應威脅。開支比例並不健康。
企業大多著重預防威脅,結果相關開支佔了預算的八成,令監察和回應威脅的僅剩餘下兩成。「現在的黑客威脅不能再單靠預防,缺乏監察和回應,只會令企業本身的安全風險大增。現在資訊安全風險已跟企業的營運風險掛勾,變相影響業務運作。」
Ramzan 認為,理想的開支比例應是監察、預防和回應威脅應平均地分配,各佔三分之一,全面控制企業的營運風險。