每個組織都需要開發自己的持續性流程來評估需求并證明安全支出的合理性。以下是兩名首席信息安全官 (CISO) 對此給出的建議。

一個組織究竟應該在網絡安全方面花費多少?答案很簡單：根據具體情況而定。

影響組織具體花費的因素有很多，包括公司所從事的業務類型，其處理的個人或敏感數據或知識產權的類型，其面臨的監管要求，其 IT 基礎架構的復雜性，其成為惡意行為者攻擊目標的可能性等等。

與 “一個組織應該在網絡安全方面花費多少” 相比，一個更為重要的問題可能是：“一個組織應該如何確定需要在網絡安全方面花費多少?” 企業組織通過開發持續性流程來確定適當的安全支出水平，對于有效保護系統和數據而言至關重要。

諸多因素推動安全支出

最近發布的一些研究報告展示了一些組織在安全方面的支出現狀。CIO 網站于 2018 年 11 月針對全球 683 位 IT 高管進行的一項名為《2019 CIO狀態調查》的報告顯示，絕大多數受訪者表示，IT 安全性支出只占據其公司IT總預算的 15%;近 1/4(23%)的受訪組織將其 IT 總預算的 20% 或更多用于安全性方面。

調查還顯示，企業規模似乎并不是一個重要的影響因素，因為就安全性占據 IT 總預算的份額而言，小型企業實際上與大型企業相差無幾。而就行業而言，那些將預算的高份額用于安全方面的行業主要有專業服務、金融服務和高科技領域。

當被問及 “2019年哪些業務計劃將在推動其組織的 IT 投資中發揮最重要的作用” 時，40% 的 IT 主管表示需要增加網絡安全保護。緊隨其后的業務計劃還包括提高響應的運營效率，改善客戶體驗，發展業務、改變現有業務流程以及提高盈利能力等等。

除此之外，根據 IDG Communications 對全球 664 名 “以安全為重點” 的專業人員進行的另一項調查顯示，近 2/3 (60%) 的企業組織計劃明年增加其安全預算，且平均增幅為 13%。

決定安全支出優先級的因素包括優秀實踐 (74%)，合規性授權 (69%)，響應組織發生的安全事件 (35%)，董事會授權 (33%)，以及響應發生在另一個組織的安全事件 (29%)。

國際數據公司 (IDC) 的網絡安全產品項目副總裁 Frank Dickson 表示，一般來說，組織應該將其 IT 預算的 7% 到 10% 用于安全方面。但是，如果您的基礎架構非常復雜或受保護的資產極具價值，那么您也可以將預算份額提高至 15% 或更多。同樣地，在某些情況下，5% 的預算份額也可能是合適的。

安全公司如何確定其安全支出?

HITRUST(提供風險管理和安全服務的公司)首席信息安全官 Jason Taule 表示，在 HITRUST 公司，安全預算多年來一直保持穩定，這反映我們的領導團隊始終致力于認真對待安全和隱私問題，同時保持著一個足夠嚴謹的計劃 “以解決公司自身面臨的威脅以及合作伙伴和將數據托管在 HITRUST 的客戶所面臨的風險敞口。”

1. 提高運營效率可確保安全支出穩定

Taule 指出，“安全預算多年來一直保持穩定” 的事實可能有些誤導。與大多數企業組織一樣，我們仍然需要涵蓋更廣泛的威脅和風險敞口，但同時也要實現更高的運營效率。因此，為了保持預算穩定，這兩方面需要相互協調。簡單來說就是，如果不提高運營效率，支出將逐年增加。

2. 控制框架定義了政策和需求

為了幫助確定公司應該在安全方面花費多少，HITRUST 采用了一個控制框架來定義它需要實施的技術、管理和物理政策、程序以及亮點產品。

Taule 表示，我們還做了有關于持續監控的事情(這件事也是我們建議客戶做的)，并且已經實施了一些措施和指標來管理我們的安全計劃。這里涉及到了管理問題，因為任何有關安全問題的決定都必須要有“反饋”，如此一來，組織才能夠驗證該決定是否實現了預期的效果，或是根據反饋信息和需求做出適當的調整。

3. 確定收益遞減點

為了確定適當的支出水平，組織需要確定額外支出在降低風險方面所產生的邊際收益(指增加一單位產品的銷售所增加的收益，即最后一單位產品的售出所取得的收益)的程度。這是組織可以展示其盡職調查的關鍵點，因為得出的這個程度水平是經過精心推理且可辯護的。

4. 一些安全支出是強制性的

很少有組織能夠奢望完全由自己來決定在哪些方面花多少錢，大多數企業組織都面臨著各種監管要求、客戶期望或是合作伙伴的特殊要求，這些因素都會產生一些額外的支出水平。

在某些情況下，至少在初始階段，企業可能能夠在其定價中反映出部分費用。但最終，除了最嚴格的要求，其他所有要求都將成為客戶希望企業付出的商業成本。

有些組織可能比其他組織更重視安全和隱私問題，甚至可能選擇將其作為與競爭對手區分的秘訣。因此，他們可能會選擇在安全方面投入更多資金。

5. 進行重復性風險評估

在基本層面上，HITRUST 基于常規、定期和重復性風險評估回答了在安全方面花費多少的問題。如果是風險沒有發生改變，那么我們就不需要調整支出。如果我們得出的結論是，我們面臨的是超出我們接受能力的風險水平，那么我們就需要對支出情況進行調整。重要的是要強調，在安全方面花費多少的問題沒有一成不變的答案。

科羅拉多州是如何實現安全支出增長的?

科羅拉多州今年在安全方面的支出為 2150 萬美元(約占 IT 總支出的 6%)，高于 2018 年的 1270 萬美元(約占 IT 總支出的 4%)。據科羅拉多州州長辦公室首席信息安全官 Deborah Blyth 稱，這是該州政府有史以來很大的安全預算增長。

1. 創建一個框架來衡量安全成熟度

一般來說，很難確定投入多少錢是足夠的，以及適當的支出水平應該是多少。科羅拉多州采用了一個框架——20 大安全控制(20 Critical Security Controls)，并根據該框架衡量安全成熟度。

然后，這種持續的成熟度評估被用于證明需要額外的資金，來實施額外的控制措施和子控制措施。如果資金阻礙我們全面實施這些子控制措施，我們可能會將其添加到預算請求中。諸如不斷變化的機構需求和當前面臨的威脅等因素也在我們的預算請求中。

2. 鑒于當前的威脅證實支出需求

例如，科羅拉多州交通部在 2018 年 2 月經歷的安全事故嚴重影響了今年的預算請求。缺乏足夠的資金推遲了必要的安全改進的實施，這些改進可以防止或減輕安全事件的影響，盡管這些努力已經進行了好多年。目前，科羅拉多州已經成功構建了業務案例并提高了其資金水平，以便在今年完成已確定的安全改進方案。

3. 將支出與同行組織進行比較

科羅拉多州還使用了國家首席信息官協會 (NASCIO) 每隔一年發布的一項研究，以了解其安全投資與其他州的比較情況。這項研究表明，各州投入了 6%-10% 的 IT 預算用于安全方面。

當前文章：組織應該在網絡安全方面投入多少錢？
文章網址：http://m.newbst.com/news2/99602.html

成都網站建設公司_創新互聯，為您提供手機網站建設、響應式網站、自適應網站、網站導航、App開發、建站公司

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯