最近的數據描繪了一幅與網絡安全預算有關的相互矛盾的圖景。一些研究表明，隨著CISO著眼于下一次支出狂潮，預算正在健康增長。其他研究表明，盡管之前獲得批準，但安全預算正在收緊，甚至被大幅削減，這阻礙了安全戰略，并造成了風險盲區。

 

公司規模和行業等幾個因素無疑是造成這種不一致的原因之一，但無論CISO的資金是充足的還是稀缺的，通過避免隱藏的、不必要的成本來節省資金的機會肯定是普遍歡迎的。

 

安全投資可能會伴隨著成本陷阱，這些陷阱并不總是顯而易見的，但隨著時間的推移，會侵蝕安全領導人的寶貴資金，而他們從未意識到這一點。這些成本的范圍從正確的知識可以辨別的成本到有些令人驚訝的成本，即使是對最經久不衰的CISO來說也是如此。

 

 

許多CISO在許多安全供應商圍繞其產品的收費結構中苦苦掙扎。網絡安全顧問、歐盟網絡安全局(ENISA)咨詢小組成員布賴恩·霍南告訴記者：“現在許多產品的收費結構非常復雜，雖然基本版本的解決方案可能看起來相對有吸引力，但更高級的功能--通常是CISO要求的功能--需要額外收費的情況并不少見。”

 

他補充說，這在安全信息和事件管理(SIEM)或安全運營中心(SOC)解決方案中非常常見，在這些解決方案中，工具或平臺的初始購買相對便宜，但隨著存儲的數據量、跟蹤的事件、分析的流量或監控的終端的增加，相關定價可能會大幅躍升。

 

安全產品和服務中的這些額外管理費用還可能包括許可、維護和支持成本。信息安全論壇(ISF)杰出分析師保羅·瓦茨表示：“我聽說，CISO涵蓋了SOC和基礎設施等更多的安全馬達功能，發現他們持有支持和維護成本，這些成本本應由CIO/CTO承擔，特別是在預算線相當緊密的情況下。”

 

 

在決定購買任何網絡安全服務或與第三方接觸之前，CISO應詢問并仔細評估與使用該服務相關的所有潛在額外成本。大峽谷教育公司CISO的邁克·曼羅德表示：“這是一個完善供應商參與和談判策略的問題，目的是以最低的合理價格購買產品和服務。”特別是，當一個產品是全新的ADD、新的關系和/或成本涉及知識產權而不是實物產品的情況下，應該有很大的談判空間。

 

曼羅德說：“對于服務來說，最終的訣竅是堅持每個新產品都有足夠的專業服務來實施，然后讓你最有前途的人從鍵盤上引導會議，專業服務工程師告訴他們應該做什么。”

 

然后讓那個人去支持那個產品，然后解決之后的問題，如果你選對了人，他們就是專家，他說。“一旦做到這一點，就讓他們培訓后備人員，創造一種記錄和持續知識轉移的文化。在過去6.5年里，我在這份工作上為我們節省了多少錢，這對我來說甚至都不合適。”

 

根據曼羅德的說法，另一個考慮因素可以幫助談判新的安全產品的更合理的價格。例如，當一些遠程瀏覽器隔離供應商報出荒謬的價格時，我們詳細解釋了如何構建自己的GitHub項目，以便如果我們致力于資本支出時間與他們收取的費用相等的話對其他人免費開放。這對供應商來說是一個非常突出的現實檢驗，定價變得更加合理，他表示。

 

 

安全產品和服務錯綜復雜的成本結構只是潛在隱藏成本謎題的一部分。另一件需要考慮的事情是有效運營它們的內部成本，這一點經常被忽視。以暹羅為例;它顯然是一個有效的工具，但出于合規目的，將有大量數據需要管理和保存，需要大量存儲和時間投資，佳潔士英國委員會成員戴夫·艾倫告訴記者。

 

“考慮員工培訓、維護、增加用戶和處理誤報等事情也很重要--所有這些事情都可能不包括在初始成本分析中。”他說。

 

滲透測試服務和開源解決方案也是很好的例子。Allan說，在使用滲透測試時，還必須考慮內部所需的時間和資源、任何潛在停機對業務的成本、分析報告所需的時間以及實施任何必需的安全措施的成本。

 

霍南補充說，開源解決方案雖然經常被吹捧為商業工具的高性價比替代方案，但也不一定會為網絡安全團隊節省成本。實施、管理、集成和支持解決方案的持續成本通常會導致在招聘具有所需技能的人員或與外部專業知識接觸時產生意外成本。

 

 

重復功能的重疊服務是另一個常見的超支，可能會侵蝕安全預算。云服務提供商Nasstar的CISO尼克·特魯曼(Nick Trueman)表示：“為這些重復的安全功能付費可能在財務上效率低下，并給預算帶來壓力。”他補充說，這還可能導致集成挑戰，從而協調和集成具有類似功能的多個提供商會導致復雜性和互操作性問題。

 

CISO應進行全面審查，并確定所有當前的安全提供商及其提供的服務。“評估它們的有效性，以及它們是否符合企業的安全要求，”特魯曼說。如果發現重復的功能，請考慮將服務整合到單一提供商之下，或與提供商協商以消除冗余。

 

 

在裁員問題上，CISO最終往往會為不能提供預期收益的工具買單，從而嚴重影響其安全預算和覆蓋計劃。Qualys首席技術安全官Paul Baird表示，CISO可能會遇到這樣的情況，即他們投資于安全工具或技術，盡管他們最初承諾，但未能提供預期的價值或投資回報。

 

出現這種情況的原因有幾個，包括與現有系統的集成不充分、用戶采用有限，或者工具不能有效地滿足組織的特定安全需求。這種投資可能會給安全預算帶來壓力，并將資源從更有效的安全措施中轉移出來，最終破壞該組織的整體網絡安全態勢。

 

Baird說：“我看到CISO在他們的預算中發現，這些工具要么是擱置的，要么是沒有被充分利用的潛力。”這里的問題是，我們跑得很快，以跟上威脅并防止襲擊，這使得我們很難走在問題的前面。

 

 

ReliaQuest的CISO里克·霍蘭德表示，CISO有過花費深入采購的歷史，他們更新工具并購買新工具，而不驗證用例和檢查現有解決方案是否已經解決了風險。這導致了大量冗余的、可能不必要的安全控制，使安全操作復雜化。他補充說，公司需要協調所有投資，以確保它們與組織的威脅模型相關，并將風險降至最低。

 

例如，如果您不在網站可用性對創收至關重要的垂直領域，是否需要續訂基于云的分布式拒絕服務(DDoS)緩解服務?DDoS攻擊的可能性和影響是否足夠低，以至于有限的資源可以定向到其他地方?

 

在Honan審查組織中的安全工具的經驗中，通常只因為組織不知道他們所需的所有功能在他們購買的原始產品中都可用而實施了兩到三個產品。例如，他表示，許多現代操作系統都帶有內置的安全功能，如磁盤加密，如果實施，可能會消除擁有第三方解決方案的要求。

 

霍南補充道：“聘請一名產品工程師來審核您的配置并確保正確實施解決方案，可以使CISO不必再購買其他工具以及與集成和管理工具相關的成本。”

 

 

一些CISO可能會陷入的另一個成本陷阱是供應商鎖定。為了使解決方案有效工作，在金錢、時間和資源上的投入最終可能會比最初預期的要高得多。這可能會導致CISO不愿轉向替代產品或平臺，因為他們可能會覺得投資將會損失，或者遷移的成本將令人望而卻步。

 

霍南說：“當安全功能或流程被外包給第三方或云時，情況尤其如此，盡管有更具成本效益的解決方案可用，但這會導致持續時間更長、成本更高的成本。”

 

瓦茨說，當CISO拿起一項橫切的、中心主導的“倡議”時，隱藏成本也可能悄悄出現，他們在實施和零日成本方面掌握著這一倡議的錢包，承諾“如果它奏效，我們將整合到企業預算中”。

 

“然后，這就變成了一種持久的一切照舊的活動，到那時，在整個業務范圍內重新計入運營成本是一個沒有人想要的對話，因此它位于CISO的預算線上，給他們帶來了煩惱，特別是如果它確實不符合中央安全成本的情況。”

 

 

組織優先事項的錯位可能會對CISO構成挑戰，可能會導致多付款項。這種不一致通常發生在不同利益相關者的戰略目標和視角與CISO的網絡安全優先事項不一致時，這些利益相關者包括高級領導層和各個部門。

 

“當這種錯位發生時，可能會導致預算分配方面的爭端，”貝爾德說。信息和通信技術組織可能不得不在與其他部門的要求競爭中為其預算請求辯護，這可能會導致可能無法充分滿足組織的安全需求的妥協，從而導致應對安全事件或漏洞的臨時支出。

 

組織可能會有反應地分配資源來應對迫在眉睫的威脅，這往往會招致額外的成本。這種被動的方法可能會使預算緊張，而且可能無法提供全面且具有成本效益的長期安全戰略。

 

曼羅德說，有時公司和安全領導者在這方面都很短視，選擇了最容易的季度路徑，這可能在一年內產生中性的結果，但在五年內產生災難性的結果。“如果我們想要解決這個問題，我們都需要傾向于更長遠的思考。”

 

他補充說，在幫助對安全項目進行大量改進的所有因素中，最重要的因素之一是長期留在同一家公司，得到其他領導人始終如一、堅定不移的支持，為解決經常得不到解決的難題提供了持續工作的平臺。“我們中有誰肯定會成功嗎?一點也不。盡管如此，我愿意認為我們都在努力實現最大可能的風險降低，對于每一種投資水平。”信息和通信技術組織需要使其安全優先事項與本組織的戰略目標保持一致，并定期評估安全投資的績效，以確保有效地分配資源，并確保安全覆蓋計劃具有效力和成本效益。

 

 

國內主流的to B IT門戶，同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)。

 

版權聲明：本文為企業網D1Net編譯，轉載需在文章開頭注明出處為：企業網D1Net，如果不注明出處，企業網D1Net將保留追究其法律責任的權利。