在危機中如何削減預算又不降低安全性？

2020-08-15 13:37:14TerenaBellCharles

計算機世界 2020年30期

Terena Bell Charles

長期以來，人們都知道信息安全領域一直是人員不足，資金不足，疫情之前的確是這種情況。在當前經濟低迷時期，信息安全領域面臨更大的壓力，研究公司Pulse在6月4日的報告中稱，目前23%的安全預算被凍結，49%的預算被削減了。

那么，當CEO要求削減資源不足的預算時，首席信息安全官應該從哪里下手呢？更具體地說，有沒有一種方法可以使這些削減措施在經濟重啟后不會成為永久性的？首席安全官與顧問、供應商和首席信息安全官相互交流，得出了以下最佳建議：

1.找到技術上的重疊

在人、過程和技術的金三角中，首先要看技術——也就是企業已經擁有的軟件。Cyxtera聯邦集團總裁兼首席信息安全官Leo Taddeo指出，“應找出在哪些地方可以通過創新來提高效率。”由于很多技術供應商都在不斷地增加新功能，因此現在可能會在技術上有一些重疊，而這在初次使用時還不存在。以當前的端點保護套件為例，Taddeo指出，它可能還提供了重要的防病毒保護功能，“如果首席安全官認識到這兩方面都產生了成本，那么在此就可以節省成本。”

與其他部門合作，看看他們使用了什么技術。識別影子IT一直是個難題，所以應從熟知的系統開始，尤其是那些應用非常廣泛的系統。Taddeo說：“在現有的平臺上，比如Windows 10，就已經具備了一些功能，首席信息安全官可以簡單地打開一項安全功能來降低風險。”

無論在哪里找到這些功能，消除工具冗余都是一種節約成本的措施，即使在預算恢復正常后，你也可能會保持這種做法。正如零信任網絡接入解決方案提供商Appgate Federal的總裁Greg Touhill所說，“首席安全官應始終注意把握機會，目的是更高效和更安全——不管是否有疫情。”

2.重新談判供應商合同

分析平臺Sumo Logic的首席安全官George Gerchow認為，對于自己部門保留的工具，可以試著通過“與供應商重新接洽，以確保能得到最好的價格”來降低成本。他說，“現在，每家供應商都在竭力保護他們的客戶群，因此，單點解決方案將不得不降低價格才能與套件解決方案相競爭”，這意味著套件解決方案可能會在許可費用上打折。

供應商ServiceNow的安全運營總經理Jeff Hausman建議，如果可以的話，安全部門應該從永久授權模式轉向訂閱模式，從而提高預算的靈活性。

Gerchow說：“對數據使用量進行收費的平臺將不得不在按數據類型和搜索頻率收費方面有所創新?！?/p>

服務提供商Bionic的首席執行官Mark Orlando也提出了類似的建議：“任何基于數據量或者其他可變指標的技術許可，都應該進行縮減。應尋找降低許可成本的方法，可以通過減少不可操作或者已過時的數據源來實現——至少要整合或者共同確認支持合同，以找到技術重疊，這樣就可以要求減免付款。”

如果供應商不愿意談判，Hausman和Gerchow都建議過渡到開源替代方案。

3.利用技術降低與人員相關的成本

在當今環境下，與削減預算相關的諸多困難也有其積極的一面。Hausman說：“這是一個很好的時機來實現某些枯燥的安全操作的自動化。”比如那些太耗部門時間的所有手工工作。如果首席執行官愿意花一點小錢來省一大筆錢，那這也許就是你的機會，讓你有理由購買一直想要的自動化工具。Hausman說：“任務自動化和流程編排是很容易實現的?！?/p>

Hausman建議首席信息安全官應用80/20規則，這是一種商業理論，也被稱為帕累托原則（Pareto Principle），即80%的結果來自于20%的努力。Hausman建議反思一下：“你的部門最花時間的前五項工作是什么？”這些工作是否符合企業和部門的目標？他解釋說：“貨架式工作流程能夠安全地處理某些工作，例如，數據收集、優先級排序，以及事件整合和補救措施分配等?！?/p>

這條建議可能對實現零信任網絡尤其有用，Touhill評論說，例如，在軟件定義周界防護方面的創新不但推進了戰略發展，“同時幫助削減了運營成本，因為這樣便能夠淘汰老舊的人力密集型技術，如虛擬專網（VPN）和網絡訪問控制（NAC）系統”——這是一個有趣的想法，因為Pulse數據顯示，VPN可能是36%的網絡安全部門今年5月份都要上的“新預算項目”。

高管們現在可能不想看到有任何類型的支出，但如果他們對創造性思維持開放態度，那么可以嘗試通過人力資源部門為空缺的安全職位提供資金支持，說服他們采購能夠減少部門工作量的軟件。有些工具可能很昂貴，但要想一想企業的總成本是大于還是低于新員工的工資加福利？另外，這條建議還可以幫助你樹立一個先例——在預算恢復后購買一直想要的其他技術。

4.裁員務必謹慎

你要的是削減預算，然而意想不到的是，裁員幫你做到了——6月份的失業數據顯示，在疫情期間，有3000多萬美國人失業。在網絡安全領域，6月份的Pulse調查顯示，48%的數據安全部門在4月和5月份“因為新冠病毒而減少了員工人數”，40%的部門計劃在11月之前繼續裁員。

Bionic公司的Orlando說：“失去技術能力很強的團隊成員將對部門士氣產生持久影響，也不利于未來的招聘工作，因此，對于希望在危機過后保持某種能力不變的安全部門領導來說，裁員應該是萬般無奈的最后選擇?！?/p>

疫情導致的經濟危機終將會過去。當員工們急于處理健康問題、托兒問題，還擔心下一步可能被解雇的時候，如果此時還讓他們加班，這其實并不能培養員工的忠誠度。正如Touhill所指出的，人員、培訓和許可費用占用了大部分安全預算。現在對你有意見的員工很可能會在疫情危機之后辭職，這會增加接替員工相關的人員和培訓成本。請記住，我們的目標是在不損害未來安全的前提下，現在就想辦法削減預算。

5.不管怎樣，牢記自己的目標

回到Hausman的講話，安全領導人時刻牢記自己的目標是非常重要的。Orlando說，不管什么時候決定裁員，總的策略是一樣的：“把安全部門的任務進行細分，確定你能承受哪些損失，而仍然可以完成工作?！闭f到底，把這一指導策略堅持下去就會知道，什么應該削減，什么不應該削減。

Terena Bell是一名自由撰稿人，他感興趣的主題包括聊天機器人、自然語言處理和其他人工智能等。

原文網址