欢迎访问电脑商情在线! 请免费注册
分享到





位置:首页 > 网络安全 > 业界新闻

如何决定公司的 IT 安全预算

作者: cbinews编辑   责任编辑:张金祥 2019-11-13 17:27:54
来源:电脑商情在线关键字:卡巴斯基

多年来,全球在信息安全产品和服务方面的支出一直在增长。根据Gartner数据,相关支出从2018年的1140亿美元(较2017年增长12.4%)预计增长到2019年的超过1240亿美元。企业中的IT安全领导者对此也抱有较高的期望:72%的企业IT安全负责人表示他们的预算将在2020年增加1。随着越来越多的资金投入信息安全方面,了解这些投资的实际形成方式非常有趣。

根据我的经验,无论是企业业务还是个人事务,基本上有两种方法可以决定未来。第一种:依靠你的直觉和以前在类似情况下的经验,或者简单地跟随别人的选择。这是一种传统的方法。第二种:分析自己的独特情况,将其分解为小细节,并尝试推算这些细节在不久的将来发生变化的可能性。 这是基于风险的方法。

现在,让我们看一下不同的公司是如何规划其IT安全支出的,我们可以从这两种方法中学到什么。

传统的预算方法

最典型的安全预算规划方法通常是基于当今的即时需求或以往经验。这种方法尤其适用于成长中的公司,这些公司需要能够快速为业务配备最低和必要的网络安全措施和工具,以专注于增长。

处于这个阶段的组织中,预算规划通常按照继承原则进行,即目前的预算水平维持几个周期,尽量做到变化最少。没有设置战略性IT安全目标或评估特定风险的做法,这些资金用于临时支持的新需求。

这种方法可能可行,除非出现突然且无法解决的业务需求:例如,决定增加业务的数字化方面,为CRM或会计部署基于云的服务,或者开设一个新的办事处。所有这些业务决策意味着将迅速分配IT安全预算以及人员,以快速解决最紧迫的安全漏洞,而先前计划的任务和部署将被延迟并堆积起来供以后解决。

由于这些原因,这些组织真正的安全支出可能会急剧增加,因为每当发生意外情况发生时,无论成本如何,组织都需要尽快解决。与此同时,采用更成熟风险管理方法的大型组织最终可能将较少比例的资金用于信息安全。

基于风险的方法

毫不奇怪,在2019年,风险管理专业知识被列为信息安全主管的三大技能之一。在成熟的企业中,风险评估是业务流程的核心。IT 安全也不例外。

更成熟的组织不会尝试解决尽可能多的缺口。 首先,他们着眼于关键的业务风险——无论是停机时间、服务可用性、声誉受损、商机损失还是各种直接的金钱损失。对于拥有这种思维的企业来说,网络安全不是一种习惯或恐怖的头条新闻鼓吹的“必要的邪恶“投资。其是合理的,并且是基于风险计算的(意味着事件的概率乘以其成本)。

网络威胁一视同仁,但即便如此,每个组织也可能会面临特定类型的网络安全风险。对一家大部分业务为数字化业务的电子商务公司来说,DDoS 攻击对其网络资源的攻击很有可能会造成金钱和声誉的巨大损害。同时,如果金融和政府组织的系统在高级的网络攻击中遭到破坏,金融机构和政府组织将面临严厉的罚款,因此他们的预算应该集中在这里。此外,甚至软件开发者和服务提供商自身也会成为被攻击目标,或者成为针对客户的供应链攻击的一步。换句话说,有多少种类的业务,几乎就有多少类型的威胁模型,每种业务都面临特定且不断变化的风险。

由于风险总是意味着一定程度的概率,IT 安全专业知识正在成为风险评估过程中非常重要的一部分。邀请专家(包括外部专家)评估各种可能性,并增加投入,以便作出更明智的决定,并平衡最终结果。

最后,当基于此方法做出购买网络安全解决方案或服务的决定时,需要高层管理人员进行透明的审批流程。 这能够让企业避免IT安全部门员工强迫其决定不购买最具成本效益和效率的解决方案的情况,而是选择另一种解决方案,比如这仅仅是因为他们过去曾经使用该平台工作。

当然,风险评估过程因公司而异,并且在不断完善。尽管如此,三个关键要素——专家、风险评估和透明的决策链对于帮助使预算计划更加有效并确保公司在IT安全方面的投资符合业务需求仍然至关重要。

应该学到的经验教训

简而言之,规划安全预算类似于不同的人如何处理他们明年的保养。作为一个车主,我只需粗略估算一下常规开支、轮胎、技术检查和其他此类维护的平均费用。但是,作为一个赛车爱好者,我知道我需要事先“踢一下论坛”:为赛季做准备,并确保我有足够的预算来应对所有磨损的汽车部件(例如轮胎、制动器等)。第二种方法更加成熟,最终可以节省资金。但它也需要专业知识、时间和专注力。

卡巴斯基首席商务官 Alexander Moiseev

卡巴斯基首席商务官 Alexander Moiseev表示,在规则组织的IT安全预算时,有一些注意事项:

1. 当评估风险时,企业应当查看与其行业和公司规模最相关的威胁,然后相应地规划预算。 在进行这项工作时,可以访问最新的、量身定制的威胁情报报告非常重要。

2. 在评估网络安全解决方案和服务的风险和潜在价值时,拥抱专业知识(无论是内部专业知识、外部专业知识还是两者结合起来)非常重要。卡巴斯基和其他供应商提供各种培训,帮助组织提高内部专业知识水平。

3. 对于没有足够内部专业知识或风险评估流程的组织,外包通常是最佳选择。这种情况下,拥有保证服务级别协议 (SLA) 并将费用从资本支出转移到运营支出是控制安全支出的一种方式。

4. 虽然仅靠行业基准不足以做出预算决策,但对于特定行业、规模和区域的组织来说,卡巴斯基 IT 安全计算器等工具可能是深入了解和研究某个组织的威胁、规模和数量等情况的良好开端。


当处理像企业IT 安全(或高速赛车)这样严肃的事情时,最好花一些时间提前做好准备,咨询专家并计划可能发生的事情。正如谚语说的那样,慢而稳,赛必胜。

网友评论(0) 评论仅代表网友个人观点,不代表CBINews观点。
CBINews网友您好,欢迎发表评论:(注册 后发表评论,可就本文发起辩论,将会获得更多关注)
 CBINews网友  注册邮箱:  

CBI 友情链接:

至顶网 |  腾讯科技 |  凤凰科技 |  商业伙伴 |  移动信息化 |  企业网 |  中国软件网 |  CIO时代网 |  更多>>

整合营销 |  CBINews刊例 |  《电脑商情报》刊例 |  版权声明 |  友情链接

内容版权所有:电脑商情在线 北京三人行广告有限公司

地址:北京海淀区学院南路68号吉安大厦B座308。联系电话:(010)62178877

商务、内容合作QQ:2291221 联系电话:13391790444 詹老师

ICP证:川B2-20070068-5 川预审H8VZ-RBP6-X228-T60Z号 北京市公安局海淀分局备案编号:1101083710

声明:本媒体部分图片、文章来源于网络,版权归原作者所有,我司致力于保护作者版权,如有侵权,请与我司联系删除。