CISO和安全管理員在精簡安全投資方面達成了一致，然而如何做仍是個問題。關(guān)于這一點，你有什么建議？企業(yè)主管或管理員可采取怎樣的措施？

Mike O. Villegas：由ISACA和RSA牽頭的2015年網(wǎng)絡(luò)安全狀況的調(diào)查表明，在845名受訪者中，56%的人表示安全預(yù)算在2015年有所增加。不過事實上，企業(yè)可在不影響現(xiàn)有服務(wù)的情況下精簡安全投資。

減少信息安全預(yù)算的方法包括：

· 減少被束之高閣沒有使用的產(chǎn)品

· 減少外包的供應(yīng)商管理· 消除冗余的安全工具的功能· 通過建立技術(shù)和功能清單來消除”被忘掉的“工具· 定制一個具備多功能的工具而非多個單一功能的工具· 確保安全工具在符合安全需求的同時也符合業(yè)務(wù)需求

如果調(diào)查中的這種趨勢將在未來幾年內(nèi)蔓延開來，那么在不影響現(xiàn)有服務(wù)的前提下精簡安全投資也將變得稀松平常。減少供應(yīng)商管理外包可能導(dǎo)致人員的減少，這意味著預(yù)算將大幅減少，不過如果業(yè)務(wù)因此受到影響那可不太好。

精簡網(wǎng)絡(luò)安全預(yù)算不必斷斷續(xù)續(xù)的，做好相應(yīng)的計劃以及對精簡哪些工具、功能和人員心中要有數(shù)。

如下是幫助企業(yè)保證預(yù)算、將安全投資控制在理想水平的方法：

· 可以減少、組合或替代身份認證工具

· 為在信息安全項目和人員中產(chǎn)生額外功能和生產(chǎn)力的產(chǎn)品執(zhí)行一個總的擁有成本（TCO）· 盤點人員技能，以及支持附加工具所需的技能以明確哪些可以消除· 為行政主管提交一份既全面又簡潔明了的預(yù)算報告

最終，企業(yè)高管們將會知道，如果精簡得當(dāng)，即使增加信息安全預(yù)算也是符合成本的。