本文讲的是怎样充分利用安全预算,安全预算会间接影响到信息安全经理保护公司及其资产的效果,反过来说,这也将决定他们在公司能待多久的问题。但信息安全预算大部分来自IT部门,安全经理常常抱怨其不够用,这已是老生常谈的问题。
然而,事情未必就是矛盾重重难以解决,聪明的信息安全经理知道在今天这种经济状况下,自己必须更谨慎地利用资源。对信息安全经理而言,这意味着更有效地使用资金,充分利用现有解决方案,以保护好他们真正担心的重要资产。提升员工技能,推出性价比高的安全意识项目也包含在其中。
- 警惕大黑洞
据说,IT安全预算占总体IT预算的5%至15%——取决于你信任谁,以及你怎样定义安全。
本月早些时候发布的一份报告中,Gartner将这一数字定在了5%左右,并睿智地点出:与业内同行做比较是无意义的,因为你可能将钱花在了错误的地方,然后依然极度不安全。
这阐明了安全预算问题的复杂棘手性。这些预算因公司而异,取决于报告结构(比如说,向CIO报告而不是向CFO报告,就很可能只拿到更少的预算)、高管级关系,以及现有技术解决方案。然后,还要确保任何新增购置要与公司现有风险管理和合规实践想吻合。
于是,留给信息安全经理去问的问题还有很多:我需要将钱花在什么地方?已经有解决方案在保护我们了吗?供应商只是在吹嘘他们的产品吗?这笔投资对我们管理风险和改善安全的能力到底有多大促进?
知道自家公司面临的威胁态势非常重要,但却极少有公司做到。 埃森哲咨询公司《2016高性能安全报告》中,对大型企业2000名安全主管的调查发现:53%的受访者认为内部人威胁是对公司最具实质性影响的,而这些公司中大多数都把钱花在了终端和云安全上。
而在这数据泄露日益加大,网络犯罪团伙不断复杂化的时代,过度开销或投钱到无尽黑洞的危险,是存在的。
我们可以看看美国银行。去年,CEO布莱恩·莫伊尼汉称,该美国第二大债权人将投入4亿美元到网络安全上,网络安全将是该公司20年预算史上首个不设上限的业务单元。
无独有偶,在2014年8月的数据泄露事件后,摩根大通也称其2016网络安全预算将达5亿美元,是其上一年度的2倍还多。而科伦传播公司最近的文章指出,花旗银行IT安全预算是3亿美元。
雅虎财经报道,富国银行每年投入2.5亿美元在网络安全上。分析师公司网络安全风投则预测:来年网络安全预算还会有进一步增长,政府和商业方面都有。
很明显,钱越多越好,但钱花得聪明才是真的好,尤其是在业内普遍对“多投钱等于更好的安全”这一理论持有怀疑的情况下。
- 申请更大的投入
虽然说“人不能总是得到自己想要的”,但现实是信息安全预算领域不能遵守这条规律。
只要安全与业务目标相一致,可以分析评估团队表现,与董事会开诚布公沟通良好,进一步讨论与预算重评估的机会总是存在的。信息安全经理们应该大胆要求更多的资金。
那么,信息安全经理们怎么弄到更多的钱呢?用老板们能理解的语言跟他们说啊!说白了,就是用‘风险’来说服他们。
传统上,信息安全被视为业务成本,由不理解风险管理的员工负责。技术是二进制竞技场,通常是基于规则的。但风险不是,它是个倾斜的天平。信息安全经理需要做的,是用精炼的语言向业务部门和董事会阐明一项决策可能带来的风险等级。考虑到他们会权衡一个项目的总体风险,而信息安全经理可以最小化信息安全风险让他们在项目其他部分更冒险一些,这是完全可行的。
通过清除阐述这些,安全主管将能证明安全给业务带来的价值,而不是眼前能感受到的开支。这将极大加强可见性,让董事会了解安全部门的需求,然后达成一个更好的预算解决方案。
与高管层建立良好关系,确保他们理解潜在的风险和后果,尝试与同行比较以显示投资差异,利用“跟上行业最佳实践”的说辞。
将安全项目编织进公司其他项目中,贴上“使能器”的标签。举个例子,想要远程访问?缺了双因子身份验证(2FA)可不行——现在你有筹码了吧?
只需更好地理解公司目标,拿到更多安全预算并非难事。
捍卫预算其实全在于展示安全是怎样驱动业务项目的。跟业务部门合作以弄清他们的优先事项,然后理解让这一切发生所需的安全活动,然后,就能给投资创建一个业务用例了。
- 充分利用现有条件
鉴于以上讨论,安全预算基本不会太过庞大,除非是美国银行或摩根大通那种商业巨轮。
去年,尽管2/3的信息安全专业学会成员称他们的安全预算增加了,却有60%的人都表示这还是没跟上威胁态势的发展脚步。只有7%报告称他们的安全预算比威胁上涨得快。
但是,即便没有理想的预算,充分利用现有预算达到最大效果还是可能的。
就是个围绕风险展开的事儿。可以尝试防御整个公司网络不受攻击,但实际上,只有干脆断电断网才有可能做到这一点。信息安全经理们需要更聪明的做法——守护最重视的数据,而在整个网络部署基础层面上的防御。
同时,可以与供应商沟通,看他们有没有充分用好他们的现有解决方案。
联系厂商,问问哪些服务是你尚未实现而值得花钱购入的。仔细考察他们的产品集,看看还有其他什么功能可以作为增量许可购入。同时,还可以找找扩大覆盖范围又简化工具集的方法——如果你有一个桌面管理App和一个笔记本管理App,你能合并简化之吗?
安全项目价值最大化也是个管理好坏的事儿——关注开支,良好的项目或支持管理,问问这几个简单的问题:为什么?什么时候?做什么?
要让资金能撑到最后,并且花在正确的地方。
有效性审查十分重要,必须查看预算是否对目标有效——2017应见证信息安全经理在预测安全能力上投入更多。鉴于SANS指出了大批新兴花钱领域,明年消费习惯的快速改变将成为挑战也一点不令人惊讶了。
因此,无论规模大小,总有办法让安全预算收益更多。
原文发布时间为:一月 10, 2017
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛
原文链接:http://www.aqniu.com/learn/22225.html