信息化觀察網(wǎng)

企業(yè)應(yīng)該在安全方面花多少錢呢？答案很簡(jiǎn)單，視具體情況而定。這些因素包括企業(yè)的業(yè)務(wù)類型、處理的個(gè)人數(shù)據(jù)、敏感數(shù)據(jù)或知識(shí)產(chǎn)權(quán)的類型、所面臨的監(jiān)管要求、IT基礎(chǔ)設(shè)施的復(fù)雜性、成為攻擊目標(biāo)的可能性以及其他一些可能會(huì)產(chǎn)生影響的因素。

與“企業(yè)應(yīng)該在安全方面花費(fèi)多少？”這一問(wèn)題相比，一個(gè)更為重要的問(wèn)題可能是：“一個(gè)企業(yè)應(yīng)該如何確定需要在安全方面花費(fèi)多少？” 能夠幫助企業(yè)確定適當(dāng)?shù)陌踩С鏊降某掷m(xù)性流程對(duì)于有效保護(hù)系統(tǒng)和數(shù)據(jù)而言至關(guān)重要。

推動(dòng)安全支出的諸多因素

近期的一些研究報(bào)告揭示了關(guān)于企業(yè)在安全方面的支出情況。首席信息官網(wǎng)站在2018年11月發(fā)布了一份名為《2019年首席信息官狀態(tài)》的調(diào)查報(bào)告。該報(bào)告對(duì)全球683名IT高管就IT安全預(yù)算占企業(yè)IT總預(yù)算的百分比進(jìn)行了調(diào)查。平均結(jié)果為15%。近1/4（23%）的受訪者表示將20%或更多的IT預(yù)算被用在了安全性方面。

企業(yè)規(guī)模似乎并不是一項(xiàng)重要的影響因素。總體而言，在小型企業(yè)中，安全支出占IT總預(yù)算的比例與大型企業(yè)相差無(wú)幾。就行業(yè)而言，那些安全支出在預(yù)算中占很高比例的行業(yè)主要集中在專業(yè)服務(wù)、金融服務(wù)和高科技領(lǐng)域。

當(dāng)被問(wèn)及“2019年哪些業(yè)務(wù)計(jì)劃將在推動(dòng)公司IT投資中發(fā)揮最重要的作用”時(shí)，40%的IT主管認(rèn)為需要增加網(wǎng)絡(luò)安全防護(hù)。其次分別為提高響應(yīng)的運(yùn)營(yíng)效率、改善客戶體驗(yàn)、發(fā)展業(yè)務(wù)、改革現(xiàn)有業(yè)務(wù)流程和提高盈利能力。

據(jù)IDG Communications對(duì)全球664名安全專業(yè)人員進(jìn)行的調(diào)查研究顯示，近2/3(60%)的企業(yè)計(jì)劃在明年增加其安全預(yù)算，且平均增幅為13%。

決定安全支出優(yōu)先級(jí)的因素分別為最佳實(shí)踐(74%)、合規(guī)性授權(quán)(69%)、響應(yīng)公司發(fā)生的安全事件(35％）、董事會(huì)授權(quán)(33%)以及響應(yīng)發(fā)生其他企業(yè)的安全事件(29%)。

IDC負(fù)責(zé)網(wǎng)絡(luò)安全產(chǎn)品項(xiàng)目的副總裁Frank Dickson表示，一般來(lái)說(shuō)，企業(yè)應(yīng)該將其7%至10%的IT預(yù)算用于安全方面。

Dickson稱：“如果你的基礎(chǔ)架構(gòu)非常復(fù)雜或受保護(hù)的資產(chǎn)極具價(jià)值，即便你將安全支出的比例提高至15%也未必能夠取得你想要的結(jié)果。同樣地，在某些情況下，5%的預(yù)算比例也可能是合適的。”

安全企業(yè)該如何確定其安全支出？

提供風(fēng)險(xiǎn)管理和安全服務(wù)的HITRUST公司的首席信息安全官 Jason Taule表示，在他們的公司，安全預(yù)算多年來(lái)一直保持穩(wěn)定。他稱：“這反映出我們的領(lǐng)導(dǎo)團(tuán)隊(duì)在認(rèn)真對(duì)待安全和隱私問(wèn)題方面一以貫之，始終以嚴(yán)謹(jǐn)?shù)挠?jì)劃 以解決公司自身面臨的風(fēng)險(xiǎn)以及合作伙伴和將數(shù)據(jù)托管給HITRUST 的客戶所面臨的威脅。”

提高運(yùn)營(yíng)效率讓安全支出保持穩(wěn)定

Taule表示，安全預(yù)算一直保持平穩(wěn)這一事實(shí)在某種程度上是誤讀。他稱：“與大多數(shù)企業(yè)一樣，我們也需要不斷地應(yīng)對(duì)越來(lái)越多的威脅和風(fēng)險(xiǎn)，但與此同時(shí)我們也在逐步提高運(yùn)營(yíng)效率。”由于這兩個(gè)方面相互抵消，最終的結(jié)果才表現(xiàn)為預(yù)算保持穩(wěn)定。如果不提高運(yùn)營(yíng)效率，那么支出將會(huì)將逐年增加。

通過(guò)控制框架明確策略和需求

為了幫助公司確定應(yīng)該在安全方面花費(fèi)多少，HITRUST采用了一個(gè)控制框架來(lái)明確他們需要部署的技術(shù)性、管理性和物理性策略、程序以及亮點(diǎn)產(chǎn)品。

Taule說(shuō)：“我們還建議客戶實(shí)施持續(xù)監(jiān)控，通過(guò)一些措施和指標(biāo)來(lái)管理安全項(xiàng)目。這其中涉及到治理問(wèn)題，任何安全方面的支出決定都必須要有反饋結(jié)果。這樣可讓公司驗(yàn)證相關(guān)決定是否實(shí)現(xiàn)了預(yù)期的效果，或是根據(jù)需要做出適當(dāng)?shù)恼{(diào)整。”

確定收益遞減點(diǎn)

為了確定適當(dāng)?shù)闹С鏊?，公司需要確定一個(gè)點(diǎn)，即在這個(gè)位置，額外支出既能降低風(fēng)險(xiǎn)方面又能產(chǎn)生邊際收益。他說(shuō)：“這是展現(xiàn)公司能力水平的地方，因?yàn)橹С鏊绞墙?jīng)過(guò)精心推理才得出的并且是合乎情理的。”

一些安全支出是強(qiáng)制性的

很少有企業(yè)能夠完全由自己決定在哪些方面進(jìn)行支出，大多數(shù)企業(yè)都面臨著各種監(jiān)管要求、客戶期望或是合作伙伴要求，這些都會(huì)產(chǎn)生一些額外的支出。

Taule說(shuō)：“在某些情況下，至少在起步階段，業(yè)務(wù)或許能夠在其定價(jià)中反映出部分這方面的費(fèi)用。但最終，除了最嚴(yán)格的要求，其他所有要求客戶都希望企業(yè)作為業(yè)務(wù)成本予以支出。”

有些企業(yè)可能比其他公司更重視安全和隱私問(wèn)題，甚至可能選擇將這作為區(qū)別于競(jìng)爭(zhēng)對(duì)手策略。因此，他們可能會(huì)選擇在安全方面投入更多資金。

進(jìn)行重復(fù)性風(fēng)險(xiǎn)評(píng)估

HITRUST公司基本上回答了基于常規(guī)性、定期性和重復(fù)性風(fēng)險(xiǎn)評(píng)估的安全支出費(fèi)用問(wèn)題。Taule說(shuō)：“如果風(fēng)險(xiǎn)沒(méi)有發(fā)生改變，那么我們就不需要調(diào)整支出。如果我們得出的結(jié)論是，我們面臨的風(fēng)險(xiǎn)水平超出我們接受范圍，那么我們就需要對(duì)支出情況進(jìn)行調(diào)整。需要著重強(qiáng)調(diào)的一點(diǎn)是，在安全支出方面沒(méi)有一固定的答案。”

科羅拉多州是如何實(shí)現(xiàn)安全支出增長(zhǎng)的？

科羅拉多州今年在安全方面的支出為2150萬(wàn)美元（約占IT總支出的 6％），高于2018年的1270萬(wàn)美元（約占IT總支出的 4％）。據(jù)科羅拉多州長(zhǎng)辦公室首席信息安全官Deborah Blyth稱，這是該州政府有史以來(lái)最大的安全預(yù)算增長(zhǎng)。

創(chuàng)建一個(gè)框架以衡量安全成熟程度

要想確定在安全方面投入多少錢就足夠了，以及適當(dāng)?shù)闹С鏊綉?yīng)該是多少非常困難。為此，科羅拉多州采用了一個(gè)名為“20大關(guān)鍵安全控制”（20 Critical Security Controls）的框架，并根據(jù)該框架衡量安全成熟程度。

Blythe說(shuō)：“這種持續(xù)性的成熟度評(píng)估被用于證明需要獲得額外資金的正當(dāng)性，額外的控制措施和子控制措施需要額外的資金。如果資金阻礙我們?nèi)鎸?shí)施這些子控制措施，我們可能會(huì)將其添加到預(yù)算請(qǐng)求中。諸如不斷變化的機(jī)構(gòu)需求和當(dāng)前面臨的威脅等因素也在我們的預(yù)算請(qǐng)求中。”

通過(guò)當(dāng)前威脅證實(shí)安全支出需求的合理性

科羅拉多州交通部在2018年2月經(jīng)歷的安全事故對(duì)今年的預(yù)算請(qǐng)求產(chǎn)生了常遠(yuǎn)影響。Blythe稱：“資金不足導(dǎo)致必要的安全改進(jìn)被放緩，而這些改進(jìn)可以防止或減輕安全事件的影響，盡管這些努力已經(jīng)進(jìn)行了好多年。為了在今年完成已確定的安全改進(jìn)方案，科羅拉多州已經(jīng)成功構(gòu)建了業(yè)務(wù)案例并提高了資金水平。”

將支出與同行進(jìn)行比較

科羅拉多州還通過(guò)全國(guó)首席信息官協(xié)會(huì)(NASCIO)每?jī)赡臧l(fā)布一次的研究報(bào)告與其他州的安全支出進(jìn)行比較，以了解其安全投資水平。該研究報(bào)告顯示，各州投入安全方面的資金約占其IT總預(yù)算的6%-10%。

作者：Bob Violino為Computerworld、CIO、CSO、InfoWorld和Network World網(wǎng)站的特約撰稿人。

編譯：陳琳華

原文網(wǎng)址：https://www.csoonline.com/article/3432138/how-much-should-you-spend-on-security.html