安全预算在增加,但钱去哪儿了?最近的一项调查研究对来年的CISO支出进行了深入分析。预计2022年的企业网络安全支出将保持稳定,因为研究表明,几乎所有首席信息安全官(CISO)都将在新的一年看到预算增加或持平,只有一小部分安全主管的预算会下降。《2021年安全重点研究》信息安全媒体CSO发现,44%的安全高管预计未来12个月的预算会增加,41%的受访安全高管见证了2021年预算同比增长。54%的受访安全主管预计他们的预算在未来12个月内将与去年持平。只有2%的受访者预计预算会减少,而6%的受访者预计2021年安全支出会比2020年减少。安全预算同比增长关于来年安全预算的趋势,其他调查和研究的结果也类似。根据普华永道《2022年全球数字信任洞察》报告,“投资持续涌入网络安全领域”,69%的受访企业预计2022年网络支出将增加。有些人甚至预计支出会激增,26%的受访企业表示,网络支出将在未来一年激增10%或更多。与此同时,技术市场研究和咨询公司Gartner估计,到2022年,信息安全和风险管理方面的支出总额将达到1720亿美元,高于2021年的1550亿美元和前一年的1370亿美元。虽然资金状况稳定,但CISO手头不会太富裕。安全主管和执行顾问表示,安全部门必须不断证明安全支出正在创造价值,培育他们自己的运营并最终改善企业的安全状况。普华永道网络与隐私创新研究所所长JoeNocera表示:“公司知道风险每天都在增加,因此他们继续在网络安全上投入资金。我们从商业领袖那里听到的是,他们愿意不惜一切代价避免它。获得黑客事件的头条新闻,但不想花费不必要的钱,并希望确保它被花在正确的地方。这需要CEO和CISO之间的协作努力。CISO需要知道正确的保护级别是什么样的。”Nocera补充说:“网络投资越来越少是从技术供应商那里购买最新产品,更多的是先了解企业在防御方面最薄弱的地方,然后根据遭受攻击的概率和业务损失的严重程度来确定安全投资的优先级。几个趋势正在推动预算EPAMSystems首席信息安全官SamRehman表示,2022年网络安全预算反映了其他执行团队和董事会对企业网络安全计划日益增长的兴趣。普华永道报告指出,“企业了解风险正在增加。超过50%的受访者预计明年可报告的安全事件数量将比2021年激增。攻击的增加只是许多公司增加的因素之一Rehman说:“他们的安全支出。他认为,高管们也看到了数据泄露的重大影响。在匿名加密货币时代,通过攻击获利是如此容易,以至于攻击者有很多积极主动的动机。Rehman说:“这三个因素加剧了网络安全攻防战。”与决定安全支出的因素相对应,企业领导者现在想知道他们的公司是否得到了很好的保护,并且是否足以应对攻击:保护和弹性是两只手。他们逐渐明白,没有100%防御的东西,但是强大的防御可以在造成重大(甚至任何)损害之前争取时间来检测、响应和恢复。Nocera补充说:“为了保护自己和他们的客户免受网络攻击,大多数企业将大幅增加其网络安全支出预算。与此同时,安全主管表示,除了高级管理同事和董事会成员之外,他们还感受到来自外部实体的压力。他们将从客户、业务合作伙伴和监管机构那里听到:安全也是如此。我们的首要考虑。KLCConsulting总裁兼三家中型公司虚拟CISO的KyleH.Lai指出,乔·拜登总统2021年5月加强美国网络安全的行政命令也影响了安全预算。他还提到了美国联邦政府和州政府相继颁布的多项消费者数据隐私法案和其他立法举措,并认为这些立法是影响CISO需要多少钱以及如何花钱的因素。Lai说:“是的,对于许多公司来说,这些[监管和立法]行动非常重要,因为它们必须满足这些要求,尤其是与联邦政府和国防部合作的公司。调查结果支持这些观察。CSO的《安全重点研究》表示49%的受访安全高管将最佳实践列为安全支出的决定因素,49%的受访者还将合规性、法规或强制性规定列为决定因素:这两个类别并列在安全支出决定因素列表的首位.其次是需要解决不断变化的劳动力或业务动态(特别是混合劳动力和远程办公)带来的不断变化的风险(41%);解决数字化转型带来的风险,例如迁移到云端(38%);响应部门内发生的安全事件(35%);应对其他部门发生的安全事件(25%)。这些因素与CISO预计在未来几个月内花钱的地方有关。CSO调查显示,支出分布在多个领域,其中20%用于本地基础设施和硬件,19%用于技术人员,16%用于购买和维护本地工具和软件——所有这些都为企业提供了基础提供安全服务。此外,还有基于云的安全解决方案(10%)、咨询服务(7%)、基于云的安全监控服务(7%)、安全意识培训(7%)、外包评估服务(6%)和外部事件响应服务(5%)。Gartner最近对信息安全和风险管理支出的预测进一步详细说明了资金的去向:2022年将有近770亿美元流入安全服务,使安全服务成为迄今为止最大的支出类别;300亿美元用于基础设施保护;190亿美元用于网络安全设备;170亿美元用于身份和访问管理。安全预算分配将获得大量预算的其他领域包括应用程序安全(66亿美元)、一般风险管理(64亿美元)、数据安全(40亿美元)、软件(27亿美元)和云安全(14亿美元)。).Gartner新兴技术和趋势高级总监、分析师ShawnEftink表示,CISO支出可以分为四大块。第一个大块是支持位置无关的安全,主要是创建一个网络安全计划,将身份视为需要保护的事实边界。第二大区块用于支持安全领域的发展。Eftink表示,随着董事会引入更多具有网络安全经验的董事,安全部门正面临越来越严格的审查;这些董事会成员希望看到安全部门提高效率并明显成熟,而降低安全产品的复杂性是满足这些期望的关键。第三部分预算用于不断发展的技术:新兴技术,例如成熟的漏洞和攻击模拟工具,以及保护企业不断扩展的云环境所需的技术。预算的四分之一用于外包,用于帮助提高安全运营效率和解决内部人员配置挑战。其他安全主管对零信任的新投资和云数据保护支出的增加也有类似的观察结果。他们表示,CISO计划投资访问和身份管理软件、基于角色的访问控制(RBAC)、用户行为分析和身份验证技术,例如微分段,以支持成熟的零信任架构。投资云安全解决方案也是CISO的计划之一。他们准备购买自动化和分析攻击以更有效地处理大量安全数据,并且他们计划引入托管安全服务提供商(MSSP)来增强他们自己员工的工作。Nocera表示:“身份和访问管理、第三方风险管理、实时智能和零信任都是安全投资的关键领域。”该威胁被评为商业前景的第二大风险,仅次于病毒和其他健康危机。北美和西欧的首席执行官将网络威胁列为第一大风险。但与此同时,专家表示,CEO们不愿意向CISO承诺无限的财务支持。安全主管的2022年预算反映了这一现实。专家认为,这样做也是有道理的。Eftink分享了一个业内普遍的想法:“花钱并不一定等同于安全”。事实上,CISO可能需要继续提高效率,以在预算持平或略有增加的情况下产生更高的安全性能。为此,他们将不得不继续将安全性向左转移,将安全性从一开始就嵌入到驱动业务的运营流程和数字产品中,并将安全性融入公司的结构中。“必须转变思维方式:安全应该嵌入其中,而不是事后才想到的补救措施。必须进行范式转变,”Eftink说。诺切拉同意。“在分配资金解决这些问题的同时,公司还需要将安全系统集成到整个组织中,使网络安全成为每个人的责任,而不仅仅是CISO或IT团队的责任,”他说。最终,强大的全公司范围内良好的网络安全运营可以在公司、利益相关者和消费者之间建立信任,并成为竞争优势。公司今天面临的强化系统的支出应被视为对未来商业模式的投资。”
