Bob Violino

企業(yè)應該在安全方面花多少錢呢？答案很簡單，視具體情況而定。這些因素包括企業(yè)的業(yè)務類型、處理的個人數(shù)據(jù)、敏感數(shù)據(jù)或知識產權的類型、所面臨的監(jiān)管要求、IT基礎設施的復雜性、成為攻擊目標的可能性以及其他一些可能會產生影響的因素。

與“企業(yè)應該在安全方面花費多少？”這一問題相比，一個更為重要的問題可能是：“一個企業(yè)應該如何確定需要在安全方面花費多少？” 能夠幫助企業(yè)確定適當?shù)陌踩С鏊降某掷m(xù)性流程對于有效保護系統(tǒng)和數(shù)據(jù)而言至關重要。

推動安全支出的諸多因素

近期的一些研究報告揭示了關于企業(yè)在安全方面的支出情況。首席信息官網(wǎng)站在2018年11月發(fā)布了一份名為《2019年首席信息官狀態(tài)》的調查報告。該報告對全球683名IT高管就IT安全預算占企業(yè)IT總預算的百分比進行了調查。平均結果為15%。近1/4（23%）的受訪者表示將20%或更多的IT預算被用在了安全性方面。

企業(yè)規(guī)模似乎并不是一項重要的影響因素?？傮w而言，在小型企業(yè)中，安全支出占IT總預算的比例與大型企業(yè)相差無幾。就行業(yè)而言，那些安全支出在預算中占很高比例的行業(yè)主要集中在專業(yè)服務、金融服務和高科技領域。

當被問及“2019年哪些業(yè)務計劃將在推動公司IT投資中發(fā)揮最重要的作用”時，40%的IT主管認為需要增加網(wǎng)絡安全防護。其次分別為提高響應的運營效率、改善客戶體驗、發(fā)展業(yè)務、改革現(xiàn)有業(yè)務流程和提高盈利能力。

據(jù)IDG Communications對全球664名安全專業(yè)人員進行的調查研究顯示，近2/3（60%）的企業(yè)計劃在明年增加其安全預算，且平均增幅為13%。

決定安全支出優(yōu)先級的因素分別為最佳實踐（74%）、合規(guī)性授權（69%）、響應公司發(fā)生的安全事件（35%）、董事會授權（33%）以及響應發(fā)生其他企業(yè)的安全事件（29%）。

IDC負責網(wǎng)絡安全產品項目的副總裁Frank Dickson表示，一般來說，企業(yè)應該將其7%至10%的IT預算用于安全方面。

Dickson稱：“如果你的基礎架構非常復雜或受保護的資產極具價值，即便你將安全支出的比例提高至15%也未必能夠取得你想要的結果。同樣地，在某些情況下，5%的預算比例也可能是合適的?！?h3>安全企業(yè)該如何確定其安全支出？

提供風險管理和安全服務的HITRUST公司的首席信息安全官 Jason Taule表示，在他們的公司，安全預算多年來一直保持穩(wěn)定。他稱：“這反映出我們的領導團隊在認真對待安全和隱私問題方面一以貫之，始終以嚴謹?shù)挠媱?以解決公司自身面臨的風險以及合作伙伴和將數(shù)據(jù)托管給HITRUST 的客戶所面臨的威脅?！?h3>提高運營效率讓安全支出保持穩(wěn)定

Taule表示，安全預算一直保持平穩(wěn)這一事實在某種程度上是誤讀。他稱：“與大多數(shù)企業(yè)一樣，我們也需要不斷地應對越來越多的威脅和風險，但與此同時我們也在逐步提高運營效率?！庇捎谶@兩個方面相互抵消，最終的結果才表現(xiàn)為預算保持穩(wěn)定。如果不提高運營效率，那么支出將會將逐年增加。

通過控制框架明確策略和需求

為了幫助公司確定應該在安全方面花費多少，HITRUST采用了一個控制框架來明確他們需要部署的技術性、管理性和物理性策略、程序以及亮點產品。

Taule說：“我們還建議客戶實施持續(xù)監(jiān)控，通過一些措施和指標來管理安全項目。這其中涉及到治理問題，任何安全方面的支出決定都必須要有反饋結果。這樣可讓公司驗證相關決定是否實現(xiàn)了預期的效果，或是根據(jù)需要做出適當?shù)恼{整?！?h3>確定收益遞減點

為了確定適當?shù)闹С鏊?，公司需要確定一個點，即在這個位置，額外支出既能降低風險方面又能產生邊際收益。他說：“這是展現(xiàn)公司能力水平的地方，因為支出水平是經(jīng)過精心推理才得出的并且是合乎情理的?！?h3>一些安全支出是強制性的

很少有企業(yè)能夠完全由自己決定在哪些方面進行支出，大多數(shù)企業(yè)都面臨著各種監(jiān)管要求、客戶期望或是合作伙伴要求，這些都會產生一些額外的支出。

Taule說：“在某些情況下，至少在起步階段，業(yè)務或許能夠在其定價中反映出部分這方面的費用。但最終，除了最嚴格的要求，其他所有要求客戶都希望企業(yè)作為業(yè)務成本予以支出。”

有些企業(yè)可能比其他公司更重視安全和隱私問題，甚至可能選擇將這作為區(qū)別于競爭對手策略。因此，他們可能會選擇在安全方面投入更多資金。

進行重復性風險評估

HITRUST公司基本上回答了基于常規(guī)性、定期性和重復性風險評估的安全支出費用問題。Taule說：“如果風險沒有發(fā)生改變，那么我們就不需要調整支出。如果我們得出的結論是，我們面臨的風險水平超出我們接受范圍，那么我們就需要對支出情況進行調整。需要著重強調的一點是，在安全支出方面沒有一固定的答案。”

科羅拉多州是如何實現(xiàn)安全支出增長的？

科羅拉多州今年在安全方面的支出為2150萬美元（約占IT總支出的 6%），高于2018年的1270萬美元（約占IT總支出的 4%）。據(jù)科羅拉多州長辦公室首席信息安全官Deborah Blyth稱，這是該州政府有史以來最大的安全預算增長。

創(chuàng)建一個框架以衡量安全成熟程度

要想確定在安全方面投入多少錢就足夠了，以及適當?shù)闹С鏊綉撌嵌嗌俜浅＠щy。為此，科羅拉多州采用了一個名為“20大關鍵安全控制”（20 Critical Security Controls）的框架，并根據(jù)該框架衡量安全成熟程度。

Blythe說：“這種持續(xù)性的成熟度評估被用于證明需要獲得額外資金的正當性，額外的控制措施和子控制措施需要額外的資金。如果資金阻礙我們全面實施這些子控制措施，我們可能會將其添加到預算請求中。諸如不斷變化的機構需求和當前面臨的威脅等因素也在我們的預算請求中。”

通過當前威脅證實安全支出需求的合理性

科羅拉多州交通部在2018年2月經(jīng)歷的安全事故對今年的預算請求產生了常遠影響。Blythe稱：“資金不足導致必要的安全改進被放緩，而這些改進可以防止或減輕安全事件的影響，盡管這些努力已經(jīng)進行了好多年。為了在今年完成已確定的安全改進方案，科羅拉多州已經(jīng)成功構建了業(yè)務案例并提高了資金水平。”

將支出與同行進行比較

科羅拉多州還通過全國首席信息官協(xié)會（NASCIO）每兩年發(fā)布一次的研究報告與其他州的安全支出進行比較，以了解其安全投資水平。該研究報告顯示，各州投入安全方面的資金約占其IT總預算的6%-10%。

本文作者Bob Violino為Computerworld、CIO、CSO、InfoWorld和Network World網(wǎng)站的特約撰稿人。

原文網(wǎng)址

https：//www.csoonline.com/article/3432138/how-much-should-you-spend-on-security.html