企業應該在安全上花多少錢？

Bob Violino

企業應該在安全方面花多少錢呢？答案很簡單，視具體情況而定。這些因素包括企業的業務類型、處理的個人數據、敏感數據或知識產權的類型、所面臨的監管要求、IT基礎設施的復雜性、成為攻擊目標的可能性以及其他一些可能會產生影響的因素。

與“企業應該在安全方面花費多少？”這一問題相比，一個更為重要的問題可能是：“一個企業應該如何確定需要在安全方面花費多少？” 能夠幫助企業確定適當的安全支出水平的持續性流程對于有效保護系統和數據而言至關重要。

推動安全支出的諸多因素

近期的一些研究報告揭示了關于企業在安全方面的支出情況。首席信息官網站在2018年11月發布了一份名為《2019年首席信息官狀態》的調查報告。該報告對全球683名IT高管就IT安全預算占企業IT總預算的百分比進行了調查。平均結果為15%。近1/4（23%）的受訪者表示將20%或更多的IT預算被用在了安全性方面。

企業規模似乎并不是一項重要的影響因素。總體而言，在小型企業中，安全支出占IT總預算的比例與大型企業相差無幾。就行業而言，那些安全支出在預算中占很高比例的行業主要集中在專業服務、金融服務和高科技領域。

當被問及“2019年哪些業務計劃將在推動公司IT投資中發揮最重要的作用”時，40%的IT主管認為需要增加網絡安全防護。其次分別為提高響應的運營效率、改善客戶體驗、發展業務、改革現有業務流程和提高盈利能力。

據IDG Communications對全球664名安全專業人員進行的調查研究顯示，近2/3（60%）的企業計劃在明年增加其安全預算，且平均增幅為13%。

決定安全支出優先級的因素分別為最佳實踐（74%）、合規性授權（69%）、響應公司發生的安全事件（35%）、董事會授權（33%）以及響應發生其他企業的安全事件（29%）。

IDC負責網絡安全產品項目的副總裁Frank Dickson表示，一般來說，企業應該將其7%至10%的IT預算用于安全方面。

Dickson稱：“如果你的基礎架構非常復雜或受保護的資產極具價值，即便你將安全支出的比例提高至15%也未必能夠取得你想要的結果。同樣地，在某些情況下，5%的預算比例也可能是合適的。”

安全企業該如何確定其安全支出？

提供風險管理和安全服務的HITRUST公司的首席信息安全官 Jason Taule表示，在他們的公司，安全預算多年來一直保持穩定。他稱：“這反映出我們的領導團隊在認真對待安全和隱私問題方面一以貫之，始終以嚴謹的計劃 以解決公司自身面臨的風險以及合作伙伴和將數據托管給HITRUST 的客戶所面臨的威脅。”

提高運營效率讓安全支出保持穩定

Taule表示，安全預算一直保持平穩這一事實在某種程度上是誤讀。他稱：“與大多數企業一樣，我們也需要不斷地應對越來越多的威脅和風險，但與此同時我們也在逐步提高運營效率。”由于這兩個方面相互抵消，最終的結果才表現為預算保持穩定。如果不提高運營效率，那么支出將會將逐年增加。

通過控制框架明確策略和需求

為了幫助公司確定應該在安全方面花費多少，HITRUST采用了一個控制框架來明確他們需要部署的技術性、管理性和物理性策略、程序以及亮點產品。

Taule說：“我們還建議客戶實施持續監控，通過一些措施和指標來管理安全項目。這其中涉及到治理問題，任何安全方面的支出決定都必須要有反饋結果。這樣可讓公司驗證相關決定是否實現了預期的效果，或是根據需要做出適當的調整。”

確定收益遞減點

為了確定適當的支出水平，公司需要確定一個點，即在這個位置，額外支出既能降低風險方面又能產生邊際收益。他說：“這是展現公司能力水平的地方，因為支出水平是經過精心推理才得出的并且是合乎情理的。”

一些安全支出是強制性的

很少有企業能夠完全由自己決定在哪些方面進行支出，大多數企業都面臨著各種監管要求、客戶期望或是合作伙伴要求，這些都會產生一些額外的支出。

Taule說：“在某些情況下，至少在起步階段，業務或許能夠在其定價中反映出部分這方面的費用。但最終，除了最嚴格的要求，其他所有要求客戶都希望企業作為業務成本予以支出。”

有些企業可能比其他公司更重視安全和隱私問題，甚至可能選擇將這作為區別于競爭對手策略。因此，他們可能會選擇在安全方面投入更多資金。

進行重復性風險評估

HITRUST公司基本上回答了基于常規性、定期性和重復性風險評估的安全支出費用問題。Taule說：“如果風險沒有發生改變，那么我們就不需要調整支出。如果我們得出的結論是，我們面臨的風險水平超出我們接受范圍，那么我們就需要對支出情況進行調整。需要著重強調的一點是，在安全支出方面沒有一固定的答案。”

科羅拉多州是如何實現安全支出增長的？

科羅拉多州今年在安全方面的支出為2150萬美元（約占IT總支出的 6%），高于2018年的1270萬美元（約占IT總支出的 4%）。據科羅拉多州長辦公室首席信息安全官Deborah Blyth稱，這是該州政府有史以來最大的安全預算增長。

創建一個框架以衡量安全成熟程度

要想確定在安全方面投入多少錢就足夠了，以及適當的支出水平應該是多少非常困難。為此，科羅拉多州采用了一個名為“20大關鍵安全控制”（20 Critical Security Controls）的框架，并根據該框架衡量安全成熟程度。

Blythe說：“這種持續性的成熟度評估被用于證明需要獲得額外資金的正當性，額外的控制措施和子控制措施需要額外的資金。如果資金阻礙我們全面實施這些子控制措施，我們可能會將其添加到預算請求中。諸如不斷變化的機構需求和當前面臨的威脅等因素也在我們的預算請求中。”

通過當前威脅證實安全支出需求的合理性

科羅拉多州交通部在2018年2月經歷的安全事故對今年的預算請求產生了常遠影響。Blythe稱：“資金不足導致必要的安全改進被放緩，而這些改進可以防止或減輕安全事件的影響，盡管這些努力已經進行了好多年。為了在今年完成已確定的安全改進方案，科羅拉多州已經成功構建了業務案例并提高了資金水平。”

將支出與同行進行比較

科羅拉多州還通過全國首席信息官協會（NASCIO）每兩年發布一次的研究報告與其他州的安全支出進行比較，以了解其安全投資水平。該研究報告顯示，各州投入安全方面的資金約占其IT總預算的6%-10%。

本文作者Bob Violino為Computerworld、CIO、CSO、InfoWorld和Network World網站的特約撰稿人。

原文網址

https：//www.csoonline.com/article/3432138/how-much-should-you-spend-on-security.html