由于新冠疫情(COVID-19)等危機(jī)事件的影響,全球業(yè)務(wù)遭受重創(chuàng),眾多企業(yè)開(kāi)始驟然削減預(yù)算,此舉可能會(huì)對(duì)安全性產(chǎn)生長(zhǎng)期負(fù)面的影響。本文將為大家介紹5個(gè)削減成本的同時(shí)確保安全性的方法。
信息安全領(lǐng)域長(zhǎng)期以來(lái)一直面臨“人手不足”和“資金短缺”的困境,而這種情況的存在遠(yuǎn)早于COVID-19。在當(dāng)前經(jīng)濟(jì)進(jìn)入低迷時(shí)期,這種壓力越來(lái)越大,研究公司Pulse于6月4日發(fā)布的一份報(bào)告中指出,23%的安全預(yù)算目前正處于凍結(jié)狀態(tài),并且整體預(yù)算削減了49%。
因此,當(dāng)首席執(zhí)行官要求您削減本就資源不足的預(yù)算時(shí),首席信息安全官(CISO)應(yīng)該從何入手呢?更具體地說(shuō),是否存在一種方法可以使這些削減措施在經(jīng)濟(jì)衰退結(jié)束后也同樣具有存在的意義?以下是安全顧問(wèn)、供應(yīng)商和CISO們總結(jié)的5大參考意見(jiàn):
1.識(shí)別重疊技術(shù)
在人員、流程和技術(shù)的“金三角”中,首先需要考慮的就是技術(shù)——即公司已經(jīng)擁有的軟件。Cyxtera Federal Group總裁兼首席信息安全官Leo Taddeo表示:
“尋找那些已經(jīng)將創(chuàng)新轉(zhuǎn)化成效率的領(lǐng)域。由于許多技術(shù)供應(yīng)商都在不斷添加新功能,因此在初次啟動(dòng)時(shí)可能尚不存在重疊之處。以您當(dāng)前的端點(diǎn)保護(hù)套件為例,它還可能提供重要的防病毒保護(hù)功能,如果首席安全官對(duì)這兩者都進(jìn)行了投資,那么這就是節(jié)省成本的領(lǐng)域。”
此外,還可以與其他部門(mén)合作,看看他們都在使用什么技術(shù)。識(shí)別“影子IT”一直是一件非常困難的事情,因此必須從已知的系統(tǒng)入手,尤其是那些使用更為廣泛的系統(tǒng)。Taddeo表示,現(xiàn)有平臺(tái)(例如Windows 10)中也可能存在一些功能,這些功能使首席信息安全官只需打開(kāi)安全功能即可減輕風(fēng)險(xiǎn)。
無(wú)論你從哪里找出這些軟件,消除工具冗余都是一種節(jié)省成本的有效措施,即使預(yù)算恢復(fù)正常后,您可能也希望繼續(xù)保留這項(xiàng)措施。正如零信任網(wǎng)絡(luò)訪問(wèn)解決方案提供商Appgate Federal總裁Greg Touhill所說(shuō):
“首席安全官們應(yīng)該一直在尋找更有效、更便捷和更安全的機(jī)會(huì),不管是否爆發(fā)此次疫情。”
2.重新協(xié)商供應(yīng)商合同
Sumo Logic公司首席安全官George Gerchow表示,對(duì)于部門(mén)最終決定保留的工具,可以嘗試通過(guò)“與供應(yīng)商重新接觸來(lái)盡可能獲取最佳價(jià)格”以實(shí)現(xiàn)削減成本的目標(biāo)。他說(shuō):
“目前,每個(gè)供應(yīng)商都在拼命維護(hù)自己的客戶(hù)群。因此,點(diǎn)解決方案必須降低價(jià)格才能與套件解決方案競(jìng)爭(zhēng)。這也就意味著套件解決方案可能會(huì)給出一個(gè)許可證折扣。”
供應(yīng)商ServiceNow的安全運(yùn)營(yíng)總經(jīng)理Jeff Hausman建議,如果可能的話,團(tuán)隊(duì)?wèi)?yīng)該從永久許可轉(zhuǎn)向訂閱模式,以實(shí)現(xiàn)預(yù)算靈活性。
Gerchow表示:
“按數(shù)據(jù)使用量收費(fèi)的平臺(tái)必須在按數(shù)據(jù)類(lèi)型和搜索頻率收費(fèi)方面做做文章。”
服務(wù)提供商Bionic的首席執(zhí)行官M(fèi)ark Orlando也提出了類(lèi)似的建議,
“縮減基于數(shù)據(jù)量或其他可變指標(biāo)的任何技術(shù)許可。尋找方法,通過(guò)減少無(wú)法采取行動(dòng)或變得過(guò)時(shí)的數(shù)據(jù)饋送,來(lái)減少許可費(fèi)用,或者至少合并并共同確定這些支持合同以發(fā)現(xiàn)重疊,并獲得暫時(shí)的付款減免。”
如果供應(yīng)商不愿談判,則Hausman和Gerchow都建議過(guò)渡到開(kāi)源替代方案。
3.使用技術(shù)降低與人相關(guān)的成本
在當(dāng)前環(huán)境中,削減預(yù)算確實(shí)存在諸多困難,但可能也存在一個(gè)積極的影響——這正是促使安全操作自動(dòng)化的好時(shí)機(jī)。不可否認(rèn),所有的體力勞動(dòng)耗費(fèi)了安全團(tuán)隊(duì)的大量時(shí)間,如果您的CEO愿意花一點(diǎn)錢(qián)來(lái)節(jié)省更多錢(qián),那么是時(shí)候做出改變了,購(gòu)買(mǎi)那些您一直想要的自動(dòng)化工具吧。
Hausman建議首席信息安全官應(yīng)用80/20規(guī)則,這是一種商業(yè)理論,也稱(chēng)為“帕累托原則”(Pareto Principle),該原則指出80%的結(jié)果僅來(lái)自20%的努力。Hausman解釋稱(chēng),
“您的團(tuán)隊(duì)打發(fā)時(shí)間的前五種方式是什么?這些活動(dòng)是否符合公司和部門(mén)的目標(biāo)?現(xiàn)成的工作流程可以安全地處理特定領(lǐng)域,例如數(shù)據(jù)收集,優(yōu)先級(jí)劃分,事件合并和補(bǔ)救分配。”
Touhill表示,這種方法對(duì)實(shí)現(xiàn)零信任可能特別有幫助,例如,軟件定義的邊界領(lǐng)域的新創(chuàng)新提高了策略在“降低成本的同時(shí),幫助您淘汰老年人等人力密集型技術(shù),例如虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)和網(wǎng)絡(luò)訪問(wèn)控制(NAC)系統(tǒng)”。據(jù)Pulse調(diào)查數(shù)據(jù)顯示,虛擬專(zhuān)用網(wǎng)絡(luò)是5月36%的網(wǎng)絡(luò)安全團(tuán)隊(duì)最常使用的“新預(yù)算項(xiàng)目”時(shí),這真是一個(gè)有趣的現(xiàn)象。
高層管理人員現(xiàn)在可能不想看到任何類(lèi)型的支出,但是如果老板愿意接受創(chuàng)新思維,請(qǐng)嘗試?yán)萌肆Y源成本購(gòu)買(mǎi)旨在減少部門(mén)工作量的軟件,從而實(shí)現(xiàn)收益最大化。有些工具可能很昂貴,但是比招聘一名新員工所需的薪水和福利又如何?此外,這種方法還可以幫助您在預(yù)算恢復(fù)時(shí)為購(gòu)買(mǎi)其他愿望清單技術(shù)樹(shù)立先例。
4.謹(jǐn)慎裁員
如果您想要削減預(yù)算,那么不幸的是裁員可以做到,6月份的失業(yè)數(shù)據(jù)顯示,新冠疫情期間,有超過(guò)3000萬(wàn)美國(guó)人失業(yè)。在網(wǎng)絡(luò)安全方面,Pulse公司于6月份公布的調(diào)查數(shù)據(jù)顯示,在4月或5月期間,有48%的數(shù)據(jù)安全團(tuán)隊(duì)“因COVID-19而削減了人員”,而40%的數(shù)據(jù)安全團(tuán)隊(duì)計(jì)劃讓人們?cè)?1月之前離開(kāi)。
Bionic公司的Orlando表示:
“失去熟練的團(tuán)隊(duì)成員將對(duì)團(tuán)隊(duì)的士氣產(chǎn)生持久性影響,并阻礙未來(lái)的招募工作。因此,對(duì)于那些希望在危機(jī)過(guò)后繼續(xù)保持某種能力的安全高管來(lái)說(shuō),裁員應(yīng)該是迫不得已的最后選擇。”
未來(lái)的某一天,COVID-19帶來(lái)的經(jīng)濟(jì)危機(jī)終將結(jié)束。讓員工在處理健康問(wèn)題、育兒?jiǎn)栴}以及接下來(lái)可能會(huì)被解雇的擔(dān)憂(yōu)中加班工作,并不能提高員工的忠誠(chéng)度。正如Touhill所指出的那樣,人員、培訓(xùn)和許可成本構(gòu)成了大多數(shù)安全預(yù)算的絕大部分?,F(xiàn)在變得討厭您的員工很可能會(huì)在COVID-19之后辭職,從而增加了替換員工的人員和培訓(xùn)成本。所以請(qǐng)記住,我們的目標(biāo)是找到在不損害未來(lái)安全性的前提下削減預(yù)算的方法。
5.不管怎樣,請(qǐng)牢記你的目標(biāo)
對(duì)于安全領(lǐng)導(dǎo)者來(lái)說(shuō),始終保持目標(biāo)集中很重要。Orlando表示,無(wú)論是確定今天還是未來(lái)任何時(shí)候裁員時(shí),總體策略是相同的:“將安全團(tuán)隊(duì)章程分解到一個(gè)分子水平,決定您可以承受的損失并完成工作。”歸根結(jié)底,堅(jiān)持這種單一指導(dǎo)策略將告訴您應(yīng)該削減和不應(yīng)削減的內(nèi)容。