安全預算會間接影響到信息安全經理保護公司及其資產的效果,反過來說,這也將決定他們在公司能待多久的問題。但信息安全預算大部分來自IT部門,安全經理常常抱怨其不夠用,這已是老生常談的問題。
然而,事情未必就是矛盾重重難以解決,聰明的信息安全經理知道在今天這種經濟狀況下,自己必須更謹慎地利用資源。對信息安全經理而言,這意味著更有效地使用資金,充分利用現有解決方案,以保護好他們真正擔心的重要資產。提升員工技能,推出性價比高的安全意識項目也包含在其中。
1. 警惕大黑洞
據說,IT安全預算占總體IT預算的5%至15%——取決于你信任誰,以及你怎樣定義安全。
本月早些時候發布的一份報告中,Gartner將這一數字定在了5%左右,并睿智地點出:與業內同行做比較是無意義的,因為你可能將錢花在了錯誤的地方,然后依然極度不安全。
這闡明了安全預算問題的復雜棘手性。這些預算因公司而異,取決于報告結構(比如說,向CIO報告而不是向CFO報告,就很可能只拿到更少的預算)、高管級關系,以及現有技術解決方案。然后,還要確保任何新增購置要與公司現有風險管理和合規實踐想吻合。
于是,留給信息安全經理去問的問題還有很多:我需要將錢花在什么地方?已經有解決方案在保護我們了嗎?供應商只是在吹噓他們的產品嗎?這筆投資對我們管理風險和改善安全的能力到底有多大促進?
知道自家公司面臨的威脅態勢非常重要,但卻極少有公司做到。 埃森哲咨詢公司《2016高性能安全報告》中,對大型企業2000名安全主管的調查發現:53%的受訪者認為內部人威脅是對公司最具實質性影響的,而這些公司中大多數都把錢花在了終端和云安全上。
而在這數據泄露日益加大,網絡犯罪團伙不斷復雜化的時代,過度開銷或投錢到無盡黑洞的危險,是存在的。
我們可以看看美國銀行。去年,CEO布萊恩·莫伊尼漢稱,該美國第二大債權人將投入4億美元到網絡安全上,網絡安全將是該公司20年預算史上首個不設上限的業務單元。
無獨有偶,在2014年8月的數據泄露事件后,摩根大通也稱其2016網絡安全預算將達5億美元,是其上一年度的2倍還多。而科倫傳播公司最近的文章指出,花旗銀行IT安全預算是3億美元。
雅虎財經報道,富國銀行每年投入2.5億美元在網絡安全上。分析師公司網絡安全風投則預測:來年網絡安全預算還會有進一步增長,政府和商業方面都有。
很明顯,錢越多越好,但錢花得聰明才是真的好,尤其是在業內普遍對“多投錢等于更好的安全”這一理論持有懷疑的情況下。
2. 申請更大的投入
雖然說“人不能總是得到自己想要的”,但現實是信息安全預算領域不能遵守這條規律。
只要安全與業務目標相一致,可以分析評估團隊表現,與董事會開誠布公溝通良好,進一步討論與預算重評估的機會總是存在的。信息安全經理們應該大膽要求更多的資金。
那么,信息安全經理們怎么弄到更多的錢呢?用老板們能理解的語言跟他們說啊!說白了,就是用‘風險’來說服他們。
傳統上,信息安全被視為業務成本,由不理解風險管理的員工負責。技術是二進制競技場,通常是基于規則的。但風險不是,它是個傾斜的天平。信息安全經理需要做的,是用精煉的語言向業務部門和董事會闡明一項決策可能帶來的風險等級。考慮到他們會權衡一個項目的總體風險,而信息安全經理可以最小化信息安全風險讓他們在項目其他部分更冒險一些,這是完全可行的。
通過清除闡述這些,安全主管將能證明安全給業務帶來的價值,而不是眼前能感受到的開支。這將極大加強可見性,讓董事會了解安全部門的需求,然后達成一個更好的預算解決方案。
與高管層建立良好關系,確保他們理解潛在的風險和后果,嘗試與同行比較以顯示投資差異,利用“跟上行業最佳實踐”的說辭。
將安全項目編織進公司其他項目中,貼上“使能器”的標簽。舉個例子,想要遠程訪問?缺了雙因子身份驗證(2FA)可不行——現在你有籌碼了吧?
只需更好地理解公司目標,拿到更多安全預算并非難事。
捍衛預算其實全在于展示安全是怎樣驅動業務項目的。跟業務部門合作以弄清他們的優先事項,然后理解讓這一切發生所需的安全活動,然后,就能給投資創建一個業務用例了。
3. 充分利用現有條件
鑒于以上討論,安全預算基本不會太過龐大,除非是美國銀行或摩根大通那種商業巨輪。
去年,盡管2/3的信息安全專業學會成員稱他們的安全預算增加了,卻有60%的人都表示這還是沒跟上威脅態勢的發展腳步。只有7%報告稱他們的安全預算比威脅上漲得快。
但是,即便沒有理想的預算,充分利用現有預算達到最大效果還是可能的。
就是個圍繞風險展開的事兒。可以嘗試防御整個公司網絡不受攻擊,但實際上,只有干脆斷電斷網才有可能做到這一點。信息安全經理們需要更聰明的做法——守護最重視的數據,而在整個網絡部署基礎層面上的防御。
同時,可以與供應商溝通,看他們有沒有充分用好他們的現有解決方案。
聯系廠商,問問哪些服務是你尚未實現而值得花錢購入的。仔細考察他們的產品集,看看還有其他什么功能可以作為增量許可購入。同時,還可以找找擴大覆蓋范圍又簡化工具集的方法——如果你有一個桌面管理App和一個筆記本管理App,你能合并簡化之嗎?
安全項目價值最大化也是個管理好壞的事兒——關注開支,良好的項目或支持管理,問問這幾個簡單的問題:為什么?什么時候?做什么?
要讓資金能撐到最后,并且花在正確的地方。
有效性審查十分重要,必須查看預算是否對目標有效——2017應見證信息安全經理在預測安全能力上投入更多。鑒于SANS指出了大批新興花錢領域,明年消費習慣的快速改變將成為挑戰也一點不令人驚訝了。
因此,無論規模大小,總有辦法讓安全預算收益更多。
京公網安備 11010502049343號