在新年的时候停下，并思考一下下一年将会出现的安全趋势，是很有趣很有价值的事情。全球经济的变化和业务蓝图很可能将不会对信息安全产业产生很大的影响。我们具体看一下网络安全的预测，以及企业为这些可能性作了什么准备。

　　用更少的钱做更多的事儿。我承认这不是火箭科学。全球经济正处于艰难时期对任何人来说都不奇怪了，我们甚至已经可以看到一点光亮了。对于还没有被要求减员或者降低预算的安全经理来说，现在是开始起草可能性意外计划的最好时间。虽然希望安全预算保持不变，但是安全经理应该考虑如果出现5%、10%甚至更高的预算缩减，他们应该如何处理。即使预算没有削减，这种训练也很有用，因为这对于目前使用的金融资源的较低的效率起到了启示作用。另外，考虑一下优化安全员工使用的问题。如果计划在不久的将来增加员工，那么就有机会被问到这些不重要的计划。你的员工有没有低投入高产出的方法？如果有可能，员工愿不愿意转为兼职？如果今年预算紧张，灵活的工作安排或者置位的变化是否可以被用于作为增加工资的另一种选择？管理服务提供商（下面将提到）时候可以帮助减少对员工的需求？

　　保留工作总是首先考虑的，为了这么做，可能很必要证明你看到了底线，并且原因为了公司的利益考虑艰难的选择。例如，如果你今年购买更新了昂贵的防火墙，那么考虑更新周期是不是可以扩展到12个月就很明智。从四年的硬件更新周期到五年的周期就等于20%的成本节省。如果在分析之后，决定更新需要现在就做，就要准备向CIO解释为什么应该首先考虑新的产品而不是其他。
 
　　有些厂商可能会关门或者变强。艰难的经济时期不仅限于客户端的我们。我们紧缩的预算会在厂商中产生连锁反应。目前处于“泡沫上”的厂商可能会消失。那些拥有强大的产品和/或客户基础的厂商可能会被想要 扩张的大厂商收购。我已经在2008年底看到了这种事情的发生。如果你们也正处于这种购买的模式种，这是需要记住的一种重要趋势。买家要在和可能没办法继续生存的小厂商建立长期关系之前三思而后行。厂商的流失对网络安全的操作将产生严重的影响。根据设备的类型和在基础架构中的作用，它可能会严重影响到企业的安全状态。例如，将要倒闭的防火墙厂商就是一个很大的问题。如果设备出现故障或者不能使用等等，就不能获得支持，而这将会危害到整个架构的有效性。这就是说，杀毒厂商的失败是大灾难；病毒定义更新将不会继续，而企业恶意关键防御系统的有效性也会急剧下降。在选择厂商的时候，除了要考虑金融的稳定性的标准，现在也是考查所有目前的厂商的金融状况并决定是否需要重新评估这些关系的最佳时期。

　　管理服务提供商将继续上升。很多安全服务正在迅速接近日用的状态，而且处于裁员的压力，很多企业都在寻求尽可能的外包安全工作的方法。我们已经看到一些企业采用软件即服务（SaaS）产品，例如Qualys Inc.的漏洞扫描平台和WhiteHat Security Inc.的应用漏洞扫描器，作为降低成本的一种方法。同时，传统地销售安全应用的厂商也在向NOC的方式转变，提供24x7的防火墙监控和维护、入侵防御系统等等。SaaS安全工具提供了很多的好处。企业不再负责维护和更新产品，而员工就专注在核心的专业技术：安全管理上。管理服务提供商向前走了一步把分析外包了。从不重要的方面来说，使用任何服务都有一定的风险，因为和安全状态相关的机密信息需要和第三方共享。如果你没有考虑使用这些服务，就把它放在你的短期防线上吧。

　　从法规到操作的转变。不管你喜不喜欢，我们中有很多人都在最近的三五年关注法规问题。PCI DSS、萨班斯法案、HIPAA和 GLBA 只是安全经理必须管理和帮助的一小部分法律法规。既然这个行业已经关注了一段时间的法规，遵守的紧急性和广泛性就降低了一级。很期待看到企业从安全资源回到支持的工作上的内部压力，可以主动向业务提供安全咨询支持。

　　我并不想把2009年描绘成阴暗无希望的画面；以后的一年将会充满增长和取得显著成绩的机会。抓住这个机会，充分利用人才和金融资源。企业定期重新评估支出、厂商关系和业务的重要性是很健康的行为。但是像鸵鸟一样把头埋进沙子里，企图忽略经济转态和对业务的潜在影响是很无知的。采取机会主义的态度并为我们将会面对的必然寄予做好准备非常重要。