性有长期的负面影响。本文将介绍五种降低成本和确保安全的方法。长期以来,信息安全一直以人手不足和资金不足而著称。随着当前COVID-19爆发以来的经济低迷,压力变得更大。6月4日,研究公司Pulse报告称,目前冻结了23%的安全预算,减少了49%。因此,当CEO要求你削减已经资源不足的预算时,CISO应该从哪里开始呢?更具体地说,有没有办法让这些削减在经济衰退结束后不会消失?以下是CSO、安全顾问、供应商和CISO参考资料的五个提示:1.确定人员、流程和技术的金三角中的技术重叠,首先查看技术,即公司已经拥有的软件。“寻找创新可以提高效率的领域,”CyxteraFederalGroup总裁兼CISOLeoTaddeo说。由于很多技术供应商都在不断增加新的能力,所以在开始的时候可能不会有重叠。以您当前的端点保护套件为例,它也可能提供重要的防病毒保护,Taddeo说,并补充说:“如果CSO为这两者产生成本,那么这就是成本节约的一个领域。”协作并查看他们使用的技术。识别影子IT一直很困难,所以从已知系统开始,尤其是那些使用更广泛的系统。Taddeo说:“现有平台(例如Windows10)中可能还有一些功能,可以让CISO仅通过启用安全功能来降低风险。”消除工具冗余是一种成本节约,无论您发现它在何处测量,您可能希望保留这种冗余,即使在您的预算恢复正常后也是如此。正如零信任网络访问解决方案提供商AppgateFederal的总裁GregTouhill所说:“CSO应该始终寻找机会提高效率和安全性,无论是否流行。”2.重新谈判供应商合同CSO,SumoLogic对于部门保留的工具,GeorgeGerchow说,“与供应商重新接触以确保您获得公平的价格”,试图消除成本。“现在,每个供应商都在拼命保护他们的客户群,”他说。因此,单点解决方案必须降低价格才能与套件解决方案竞争。这意味着套件解决方案可能会提供许可证折扣。供应商ServiceNow的安全运营总经理JeffHausman建议,如果可能的话,团队从始终许可模式转变为订阅模式,以提供预算灵活性。按使用量收费的平台必须创造性地按数据类型和搜索频率收费。服务提供商Bionic的首席执行官马克奥兰多提出了类似的建议:“根据数据量或其他可变指标缩减任何技术许可。”通过减少不可操作或过时的数据馈送来寻找降低许可费用的方法,或者至少合并和共同确定这些支持合同以发现重叠并获得临时付款减免。如果供应商不愿意谈判,Hausman和Gerchow都建议过渡到开源替代方案。3.使用技术降低与人员相关的成本在当今环境中,在与削减预算相关的众多困难中,可能有积极的一面“这是实现安全操作自动化的好时机,”Hausman说。“所有需要您团队花费大量时间的体力劳动?好吧,如果您的CEO愿意花一点钱来节省很多钱,这可能就是您的改变,让您有理由购买该自动化工具如果您在任务自动化和流程编排方面进展甚微,Hausman建议CISO应用80/20规则,这是一种商业理论,也称为帕累托原则,它指出80%的结果只有20%的努力。“你的团队花时间的前五种方式是什么?这些活动是否符合公司和部门的目标?”Hausman解释说:“开箱即用的工作流程可以安全地处理特定领域,例如数据收集、优先级排序、事件合并和补救分发。Touhill说,该技巧对于实现零信任特别有用。例如:软件定义边界领域的新创新可以“在降低成本的同时推动战略向前发展,同时帮助你逐步淘汰诸如虚拟技术之类的劳动密集型技术。”、专用网络和网络访问控制(NAC)系统。”根据Pulse调查数据,虚拟专用网络是5月份36%的网络安全团队最常使用的“新预算项目”,这是一个有趣的想法。高层管理人员现在可能不希望看到任何类型的支出,但如果老板对创新思维持开放态度,请尝试使用人力资源为任何空缺的安全职位提供资金,为减少部门工作量的软件提供支持。有些工具可能很昂贵,但公司的总成本是否高于或低于新员工的工资加福利?此外,此提示可以帮助您树立先例,在预算恢复时购买其他心愿单技术。4.裁员要谨慎如果你想削减预算,裁员很不幸可以做到。6月份的失业数据显示,超过3000万美国人失业。在网络安全方面,6月份的Pulse调查显示,48%的数据安全团队在4月或5月“因COVID-19而裁员”,而40%的人计划在11月之前离职。“熟练团队成员的流失将对团队士气产生持久影响,并阻碍未来的招聘工作,”Bionic的奥兰多说。“因此,对于希望在危机过去后保持一定能力的安全主管来说,裁员应该是遥不可及的。”最后的选择。”总有一天,由COVID-19引发的经济危机将会结束。让员工在处理健康问题、育儿问题以及随后对被解雇的恐惧时加班并不能建立员工忠诚度。正如Touhill指出的那样,人员配备、培训和许可成本构成了大多数安全预算的大部分。现在讨厌你的员工可能会在COVID-19后辞职,从而增加更换他们的人员配备和培训成本。请记住,我们的目标是找到在不影响未来安全的情况下削减预算的方法。5.不管怎样,牢记你的目标回到豪斯曼的演讲,对于安全主管来说,始终保持专注是很重要的。在确定裁员时,奥兰多表示总体策略是相同的:“将安全团队章程分解到分子水平,决定你能承受多少损失并完成工作。”最终,坚持单一的指导策略将告诉您应该和不应该削减哪些内容。原标题:在危机中削减预算而不损害安全的5个技巧作者:TerenaBell
