网络安全预算细目和最佳实践

大多数企业都非常清楚在组织的年度预算中增加网络安全的必要性。但是，首席信息安全官如何分配和证明预算从来都不是那么简单。

与市场营销、销售、工程和支持——ROI 可以更容易地解释——不同的是，网络安全的 ROI 的数学并不简单。然而，随着数据泄露的成本和发生率每时每刻都在增加，确保预算并确保其得到适当使用对于当今的CISO来说比以往任何时候都更加重要。

创建网络安全预算细目

企业在网络安全上花费的金额相对于其总预算的比例因行业和组织而异。因此，很难规定 CISO 应要求的数量或百分比。

但是，所有组织在分配网络安全预算时通常应考虑五个主要类别：

1、遵守。某些合规性法规规定了安全预算分配。例如，在医疗保健领域，HIPAA定义了数据隐私和安全要求，以保护个人的医疗记录和其他个人健康信息。为了满足这些要求并避免潜在的巨额罚款，首席信息安全官必须将预算花在特定的工具和技术上。在 HIPAA 示例中，这包括数据分类、加密和生命周期管理。

2、正在进行的现有风险评估。积极主动的 CISO 必须持续监控其环境中安全控制的有效性，并针对流行的攻击媒介进行校准。如果风险超过先前商定的阈值，首席信息安全官将需要评估威胁并与管理层讨论风险以寻求进一步的预算或重新分配预算 - 或同意接受更高的风险水平。此类预算的工具和服务包括网络保险、渗透测试、漏洞奖励计划和事件响应。

3、持续的安全培训。安全培训不再是年度强制性合规检查清单上的一项活动。必须让每一位员工和承包商都参与其中，使之成为一项持续的努力。利用公开羞辱或恐惧来激励员工是无效的。相反，网络安全培训需要令人难忘甚至有趣。有远见的 CISO 与他们的业务线同行合作，使这成为一项无摩擦但有影响力的工作。

4、新的商业举措。必须对 CISO 公司采用的任何类型的新业务计划进行评估，并为其应用安全预算（如果适用），以确保公司及其新客户保持安全。例如，营销部门可能会将内容创建外包给海外的第三方提供商，或者客户支持可能决定将所有客户支持案例存储在云存储平台中。这两种情况都会带来额外的风险，CISO 和安全团队必须在实施之前解决这些风险。

5、业务优先级转移。这可能与人、技术或货币化有关。从人员的角度来看，业务优先级转变的一个例子是混合模式，或者在某些情况下，永久在家工作模式以及保持网络安全最佳实践所需的持续调整。从员工入职和离职到员工使用共享家庭路由器、本地离线数据存储、个人设备和视频会议中的家庭隐私需求，都需要进行安全调整和预算重新分配。技术转变的例子包括从单一供应商或外包工程迁移到云或混合；每个班次都需要重新评估和重新分配预算。

每个类别分配多少取决于多种因素。例如，新的合规规则可能会增加当年该类别的支出。一个例子是由 CCPA 推动的数据隐私成本上升，该法案于 2020 年 1 月 1 日生效，并于 2020 年 7 月 1 日生效。此外，新投资者或新 CEO 可能会改变公司的风险偏好，导致组织在安全方面的支出相应增加或减少，从而导致 CISO 分配给各个安全类别的金额相应增加或减少。

6 个网络安全预算最佳实践

了解当前需求并规划未来需求是更有效地管理信息安全预算的关键。以下六个步骤应该让 CISO 能够很好地处理预算分配和理由：

1、了解当前如何分配预算。创建现有产品和服务的完整清单，以及每个产品和服务的每日、每月和每年支出。在云和基于订阅的模型出现之前，这是一个更直接的练习。如今，随着按需采购和调试，这项任务需要付出更多的努力。这需要定期进行——而不是在供应商希望您在续约截止日期迫在眉睫的情况下签署合同的年度续约活动中。

2、监控，监控，监控。在进行完整的清点后，制定程序以持续监控工具和网络安全服务的有效性，以及微调、重新配置甚至在需要时关闭它们的流程。请注意，产品价值和更新不能仅基于活动或缺乏活动。网络钓鱼防护等产品例如，工具可能每天都经过实战测试，因此它们的需求显然是合理的，而其他产品，如 DDoS 或勒索软件攻击防御系统，可能几个月都不会使用，如果有的话。然而，不要仅仅根据活动做出决定，而是查看行业统计数据和竞争对手，这些数据和竞争对手已成为帮助确定产品或服务是否值得关闭的目标。这一步也是评估更新和更具成本效益的产品或服务的机会——当没有活动时，换出的风险可能较小。

3、成为讲故事的人、倡导者和知己。当跨业务和职能部门的同事寻求提高效率、增加收入和参与度时，CISO 可以成为宝贵的资源。例如，首席信息安全官可以针对特定部门当前使用的产品和服务运行完整的风险报告，并以此作为激励，让他们的同事不仅了解潜在的网络攻击对这些产品或服务的影响，而且还向他们展示如何减少这些潜在的风险影响。该练习还为 CISO 及其同事提供了一种更具成本效益和前瞻性的方法。

4、为意外做好准备。意外事件可能导致预算扩大或缩小。例如，Log4j 漏洞突然扩大了 CISO 的职责范围，涵盖了整个组织使用的库及其对安全的影响。此类事件可能导致网络安全预算增加。相反，当组织范围内的预算减少时，如果 CISO 没有积极倡导如何以及为何花费预算，他们很快就会成为目标。

5、管理薪资影响。在炙手可热的网络安全工作市场中，很难找到合格的专业人员——请参阅以下步骤以了解解决此问题的一种方法——可能会倾向于支付高薪来吸引人才。但是，当需要减少员工人数时，这可能会产生直接的负面影响。当需要实现运营支出减少目标并且需要减少员工人数时，大多数公司都希望将受影响的人数保持在最低限度。而且，如果专注于少数高薪网络安全人员可以影响更少的人，那么您的团队就会成为明显的目标。

6、寻找和培养人才。以合理的成本招聘和留住人才的一种可证明的方法是投资于可能渴望加入劳动力但可能没有必要机会的社区。例如，退伍军人社区、当地社区大学、职业转换者等。投资于这些群体需要时间、预算和努力，但回报可能是有意义且持久的。

网络安全预算会增加还是减少？

· 网络安全预算会增加、减少还是保持不变？- 当然是：这取决于. 可能对预算产生影响的一些触发因素包括：

大流行的影响。COVID-19 大流行的最大影响之一是某些组织的永久远程工作，或者更具挑战性的不断变化的混合模式。另一个趋势是大辞职，以及持续的经济动荡，随之而来的是心怀不满的员工不断面临的安全问题挑战。这些挑战通常会导致安全预算增加，因为它们可能造成的声誉和财务损失是巨大的。

· 自动化取代或增强人类。与感知到的人才短缺相吻合的是，我们收集、挖掘和创建有效的基于人工智能的预测模型的能力不断提高。但它首先要收集数据以使模型有效。例如，威胁搜寻和漏洞赏金计划的成本很高，而且回报是不可预测的。基于人工智能的模型可以经久耐用，并且随着其突出和补救问题的有效性得到证明，预算可以逐渐增加。

· CISO 继续成为有效的故事讲述者并提供背景信息。在战略性和深思熟虑的情况下成功获得预算增长的 CISO 善于根据受众调整他们的安全叙述。例如，在向代表不同行业的多元化董事会展示时，为每个成员提供与他们的行业血统相关的故事情节并融入他们可能涉及的业务问题可能是有效的。这样一来，当存在需要解释的违规行为或需要网络安全投资的新举措时，您就可以为更富有成效的对话铺平道路。

· 经济衰退。这种新的现实可能会对任何安全预算产生直接且相当大的负面影响。为经济衰退做准备，并在需要时优先考虑削减哪些内容，这比在胁迫下削减成本要准备得更充分。

简而言之，当今世界有无数因素会对网络安全预算产生影响。了解并为变数做好准备——从新的网络威胁和经济动荡到技术突破——确保为企业和您的网络安全组织带来更好的结果。