每个组织都需要开发自己的持续流程来评估需求并证明安全支出的合理性。以下是两位首席信息安全官(CISO)对此的看法。一个组织应该在网络安全上花费多少?答案很简单:视情况而定。影响组织支出的因素有很多,包括公司的业务类型、处理的个人或敏感数据或知识产权的类型、面临的监管要求、IT基础设施的复杂性、它的脆弱性成为恶意行为者目标的概率等。也许比“一个组织应该在网络安全上花费多少”更重要的问题是:“一个组织应该如何确定它需要在网络安全上花费多少?”企业组织制定持续流程以确定适当的安全支出水平对于有效保护系统和数据至关重要。许多因素推动安全支出最近的一些研究报告显示了组织如何在安全方面进行支出。根据CIO网站2018年11月对全球683位IT高管进行的名为《2019 CIO状态调查》的报告,绝大多数受访者表示IT安全支出仅占其公司IT总预算的15%;将近四分之一(23%)的受访组织将其IT总预算的20%或更多用于安全性。该调查还显示,企业规模似乎并不是一个重要因素,因为在安全性占总IT预算的份额方面,小型企业实际上与大型企业相当。就行业而言,安全预算占比最高的主要是专业服务、金融服务和高科技。当被问及“2019年哪些业务计划将在推动其组织的IT投资方面发挥最重要的作用”时,40%的IT高管表示需要加强网络安全保护。接下来的业务计划还包括提高响应性运营效率、改善客户体验、发展业务、改变现有业务流程以及提高盈利能力等。此外,近三分之二(60%)的企业组织计划在明年增加安全预算,平均增幅为13%。决定安全支出优先级的因素包括最佳实践(74%)、合规性要求(69%)、响应组织中发生的安全事件(35%)、董事会授权(33%)以及响应安全事件发生在另一个组织的安全事件(29%)。国际数据公司(IDC)网络安全产品项目副总裁FrankDickson表示,一般来说,组织应该将其IT预算的7%到10%用于安全性。但是,如果您的基础架构非常复杂或您保护的资产极其宝贵,您也可以将预算份额增加到15%或更多。同样,在某些情况下,5%的预算份额可能是合适的。安全公司如何确定他们的安全支出?据提供风险管理和安全服务的公司HITRUST的首席信息安全官JasonTaule介绍,HITRUST的安全预算多年来一直保持稳定,反映出我们的领导团队持续致力于解决安全和隐私问题,同时保持一个足够严格的程序“可以解决对公司本身的威胁以及对使用HITRUST托管数据的合作伙伴和客户的暴露”。1.提高运营效率使安全支出保持稳定Taule指出,“多年来安全预算一直保持稳定”这一事实可能有些误导。与大多数企业组织一样,我们仍然需要涵盖更广泛的威胁和风险敞口,同时还要实现更高的运营效率。因此,为了保持预算的稳定,这两个方面需要相互协调。简而言之,如果您不提高运营效率,支出将逐年增加。2.控制框架定义政策和要求为了帮助确定公司应该在安全方面花费多少,HITRUST采用控制框架来定义技术、管理和物理政策、程序,并强调它需要实施的产品。Taule说,我们还做了一些关于持续监控的事情(我们建议我们的客户做的事情)并实施了措施和指标来管理我们的安全计划。这里涉及到管理问题,因为任何关于安全的决定都必须有“反馈”,以便组织可以验证该决定是否达到了预期的效果,或者根据反馈和需求做出适当的调整。3.确定收益递减点为了确定适当的支出水平,组织需要确定额外支出在风险降低收入方面的边际收益)。这是一个组织可以证明其尽职调查的点,因为由此产生的水平是有充分理由和可辩护的。4.一些安全支出是强制性的。很少有组织能够完全决定在自己身上花多少钱。大多数企业组织都面临着各种法规要求、客户期望或合作伙伴的特殊要求。因素将产生一些额外的支出水平。在某些情况下,企业可能能够在定价中反映一些费用,至少在最初是这样。但最终,除了最严格的要求外,其他所有要求都将成为客户期望企业支付的商业成本。一些组织可能比其他组织更重视安全和隐私问题,甚至可能选择将它们作为与竞争对手的区别。因此,他们可能会选择在安全方面投入更多。5.进行经常性风险评估在基本层面上,HITRUST根据例行的、定期的和经常性的风险评估回答了在安全上花费多少的问题。如果风险没有改变,那么我们就不需要调整支出。如果我们得出的结论是,我们面临的风险水平超出了我们的接受能力,那么我们就需要对支出状况进行调整。需要强调的是,对于在安全上花费多少这个问题没有硬性规定的答案。科罗拉多州如何实现安全支出增长?科罗拉多州今年在安全方面的支出为2150万美元(约占IT总支出的6%),高于2018年的1270万美元(约占IT总支出的4%)。据科罗拉多州州长办公室首席信息安全官DeborahBlyth称,这是该州安全预算有史以来最大的一次增长。1.创建一个衡量安全成熟度的框架一般而言,可能很难确定多少钱才足够以及支出的适当水平应该是多少。科罗拉多州采用了一个框架,即20项关键安全控制措施,用于衡量安全成熟度。这种持续的成熟度评估然后被用来证明需要额外资金来实施额外的控制和子控制。如果资金阻止我们完全实施这些子控制,我们可能会将它们添加到预算请求中。不断变化的机构需求和当前威胁等因素也在我们的预算要求中。2.考虑到当前威胁证明支出需求的合理性例如,科罗拉多州交通部2018年2月发生的安全事故严重影响了今年的预算申请。尽管多年来一直在努力,但缺乏足够的资金已经推迟了必要的安全改进措施的实施,这些改进措施可以防止或减轻安全事件的影响。目前,科罗拉多州已成功构建业务案例并增加了资金水平,以完成今年确定的安全改进计划。3.将支出与同行组织进行比较科罗拉多州还使用全国首席信息官协会(NASCIO)每隔一年发布的一项研究来了解其安全投资与其他州相比如何。根据这项研究,各州将其IT预算的6%-10%用于安全性。
