freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

怎么有效申请网络安全预算?
2024-01-28 18:43:09

2000年前,古罗马的战车在驰道上奔驰,此时战车的轮距等于两匹马并排所需的空间,约为4.85英尺。

此一轮距,不仅仅为古罗马奠定了道路的宽度,也影响了后世英国马车的宽度标准;当第一辆电车诞生于英伦之岸,此传统尺寸被历史的车轮沿用,导致了早期铁路的轨距标准的形成,进而波及到现代的铁道宽度。美利坚在前往太空的道路上,其航天飞机所依赖的固体燃料助推器(SRBs),也因必须经由铁路运输至发射场,被这一古老尺寸所约束,不能跨出4.85英尺的界限。

这一切,不觉让人称奇。古罗马战车马之尾后见证的路径依赖,竟让现代美国航天飞船的助推器宽度,与千年以前战车辐轮的距离息息相连。

有时,网络安全的资金预算编制也颇似这古老而有趣的例子,常由当年预算出发,探讨来年预算能否略有扩充。如此往复,年复一年,层层叠加,莫非旧年之预算便是一切之本源。

据我个人网安从业经历来看,直至2014年前,企业网络安全经费多年难觅增长之迹,每年计划仅是前年续篇。防火墙与入侵检测如同网络安全的常青树,安全产业的发展步履维艰。

直至2014年2月,习总书记在中央网络安全和信息化领导小组(2018年改为中国共产党中央网络安全和信息化委员会)第一次会议上的讲话,“没有网络安全就没有国家安全”从此深入人心。

2016年11月,随着《网络安全法》的颁布与实施,我国网络安全产业也拉开了近十年高速发展的序幕。企业对于网络安全的重视程度明显上升,强合规驱动企业对以往落后的网络安全架构进行全面升级改造,网络安全预算也迎来了大幅增长。

历史似乎又开始其轮回。缺乏严重外部事件的催化,或内部系统更新改造的驱动,企业在网络安全方面的预算又显出增长乏力之态。这新一轮马屁股理论的周期似再次开启,企业对网络安全的预算落入了一种新的平稳期或者说停滞期。

根据咨询公司S-RM发布了一份基于年超5亿美元的600名企业高管的调研报告,2023年,严重的网络安全事件的平均直接成本同比增长11%,达到了170万美元,企业规模越大,IT系统越复杂,数据泄露和被勒索软件攻击的可能性就越高。报告还展现了一定的IT预算数据,过去一年,企业将绝大部分预算分配在了IT基础设施换代升级上,以迎合数据字转型,而在网络安全上的预算仅增长了3%。

企业网络安全预算需要考虑哪些因素

在申请网络安全预算之前,各位CSO们必须要有一个清晰的认知前提:虽然近年来网络安全的重要性持续提升,但公司的最终目的是盈利,网络安全是成本中心,从本质上决定容易遭到削减,因此如何把握安全性与经济性之间的平衡就十分关键。

IANS Research的调研显示,多年快速增长之后,随着全球不稳定性和通胀压力的加剧,企业的网络安全支出开始逐渐减少,2022~2023年预算周期中预算增长下降了65%。

IANS Research在2023年4月到8月间调查访问了550位CISO,发现各行各业的网络安全资金分配普遍下降。“各行各业中,预算增长下降最多的是科技公司,同比增长从30%下降到了5%。超过三分之一的企业冻结或削减了网络安全预算。”

很显然,结果比我们想象的还要糟糕。在经济周期向好的时代,网络安全预算持续增加,这给网安行业一种无比繁荣的假象。事实上,当企业遭遇周期性下跌时,网络安全预算的削减来的是那么突然而又理所当然。

企业没钱了,首先需要考虑怎么活下去,至于网络安全可以先放放。因此如何依据企业的实际情况,说服公司高层与董事会,并且成功向上申请足够的网络安全预算,是一个技术活儿~

首先,想要申请网络安全预算,需要知道网络安全投入主要有哪些方面,包括:

  • 网络安全基础设施投入:包括防火墙、入侵检测系统、数据备份和恢复系统等硬件设备的购置和维护费用。
  • 网络安全软件投入:包括杀毒软件、漏洞扫描工具、安全审计软件等软件的购买和更新费用。
  • 网络安全服务投入:包括外包安全审计、安全咨询、安全培训等专业服务费用。
  • 网络安全人力投入:包括安全团队的薪酬、培训和招聘费用。
  • 应急响应与恢复预算:为应对安全事件,设立的应急处理和业务恢复所需的预算。

其次,在申请网络安全预算时还需要仔细考虑以下几个因素:

  • 企业的网络安全风险评估:企业首先需要评估自身面临的网络安全风险,包括内部和外部的威胁来源,以及可能造成的损失。对于风险较高的领域,企业应该加大投入以保障网络安全。
  • 企业的业务需求和发展战略:企业应根据自身的业务发展规模、业务涉及的敏感数据、业务对网络安全的依赖程度等因素,合理分配网络安全预算。
  • 行业标准和法规要求:企业需参考行业标准和法规要求,确保网络安全预算满足监管部门的要求,降低法律风险。
  • 成本效益分析:企业应对网络安全投入的成本与预期收益进行分析,选择性价比高的解决方案。
  • 同行业竞争对比:参考同行业、同规模企业的网络安全投入,以确保自身在竞争中不处于劣势地位。

此外,为了更好地让高层相信安全预算的必要性,安全负责人还应建立一套网络安全预算监控机制,定期检查预算执行情况,评估网络安全投入的有效性。监控与调整主要包括以下几个方面:

  • 预算执行情况的监控:定期检查网络安全预算的执行情况,确保资金按照预定目标进行投入。
  • 安全状况的评估:定期评估企业的网络安全状况,了解安全投入是否达到预期效果。
  • 预算调整:根据监控结果,及时调整网络安全预算,将有限资源投入到最需要的领域。
  • 经验总结与持续改进:通过对网络安全预算执行情况的总结,提炼经验教训,持续改进预算制定和执行。

分享几个申请网络安全预算的方法

举起安全监管的大棒

网络安全预算和合规息息相关,近年来全球网络安全法规持续完善,极大地推动了企业安全建设与预算增加。以我国为例,从2019年12月1日等保2.0正式实施,到2020年1月1日《中华人民共和国密码法》正式实施。再到2021年,《数据安全法》、《个人信息保护法》、《关键信息基础设施保护条例》、《网络产品安全漏洞管理规定》等法律法规纷纷出台,网络空间法制化建设已经日趋完善。

从无法可依到有法可依,从合规性驱动到合规性和强制性驱动并重,合规依旧是增加网络安全预算的第一推手。

根据工信部发布的《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》提出,到2023年,网络安全产业规模超过2500亿元,年复合增长率超过15%。专家认为,随着网络空间法制体系建设的完善,网络安全的合规需求将持续井喷,成为支撑产业高速发展的核心引擎之一。

随着监管要求持续严苛,尤其是在数据安全和隐私保护领域。安全专家Patel说:遵守各种隐私法规和合同中的安全义务是必要的,但这同时也带来相应的成本,而且就趋势来看,这成本还在不断上升。

据媒体报道,此前推特(Twitter)将支付1.5亿美元隐私罚金,以和解一桩联邦隐私诉讼。以个人信息安全为代表的数据安全问题再次成为大众关注热点。

近年来,我国越来越重视数据安全的重要性,密集出台了《数据安全法》、《个人信息保护法》、《App违法违规收集使用个人信息行为认定方法》、等与个人隐私信息相关的法律法规及标准要求。可以说,隐私合规已经成为企业经营的必选项。

展示网络安全为企业节省的费用

尽管安全性当然是大多数组织关注的问题,但负责组织财务的人通常希望看到某种投资回报。对于高层来说,复杂、专业化的网安词汇晦涩难懂,但一个可靠有效的网络安全投入的成本收益分析往往可以打动他们,其中包括:

  • 风险收益分析:评估网络安全投入对降低安全风险的贡献,以及相应风险下降所带来的收益。
  • 投资回报分析:分析网络安全投入对企业业务运营、品牌形象等方面的积极影响,以及相应的经济收益。
  • 性价比分析:在满足安全需求的前提下,选择性价比高的解决方案,实现投入产出最大化。

值得一提的是,在进行成本收益分析时,CSO们可以展示部分实际案例,佐证其分析方法的正确性,例如:

  • 可以节省 IT 部门的时间,从而减少加班时间,
  • 可以避免可能会花费组织大量资金的监管处罚,
  • 通过更好的保护数据保护降低保险费用等。

当然,上述例子只是很粗略的想法,每个企业的实际情况不同,CSO们需要考虑组织的安全项目如何在自己的独特情况下产生投资回报。为清楚起见,包含节省成本的元素很重要,比如我们可以引用所在行业的数据泄露的平均成本。

再比如凸显网络安全部门已经经过严格的比价操作,为企业定制了最具性价比的方案。这里可以体现的数据有:

  • 实施每个潜在解决方案的总成本(这可能包括许可、人工、支持和硬件成本),
  • 为什么IT部门要提出一个特定的解决方案,
  • 准备好解释使用最便宜的供应商可能会放弃什么,
  • 每个供应商相对于其他供应商提供什么等。

不要单打独斗

安全不是一个部门的事情,因此在要预算时尽量不要单打独斗,而是要拉上队友们一起,以此证明申请安全预算的必要性。

举个例子,可以和审计人员进行充分沟通,清楚他们的审计要求非常重要,同时安全人员可以借沟通机会向审计人员灌输相应的网络安全理念。John作为一家公司的CISO,他每周都会与其企业的审计人员举行会议,会议内容往往会同时包括合规性和安全性。在公司进行ISO 27001信息安全管理更新时,审计团队能够清楚地阐明他们需要安全团队提供什么,而CISO在收集了审计人员所要求的信息后可以及时作出正确的回应。这样审计部门/安全部门和公司都会更加轻松,这其实也是公司高层和董事会乐于看到的情况,彼此还可能留下些许香火情。

当然,向审计人员灌输网络安全基础知识存在一定的难度,特别是那些来自大型咨询公司的审计师,他们只是背了公司发给他们的清单或者规章制度,要求他们在审计得提出相关的问题,但完全不了解安全和风险背景。在这些事例中,他的客户只通过他们的“规章制度”在审核,但从根本上没有安全性。

比如,曾经有个审计员询问过公司是否拥有防火墙,IT 经理回答是,然后审计员就过了,而事实是,企业虽然有防火墙,但它仍在包装中且尚未安装。“这审计人员其实一点都不懂,防火墙根本没做任何事,它甚至都未被安装。因此,审计人员需要进行正确的审核,他们需要了解安全的背景、技术的背景,包括该学会如何提出问题。”

在国内,安全审计员的角色似乎还并未普及,但与此相仿的有我们的监管人员,因此同样可以对标。安全从业人员在为企业管理风险时,一样可以和相关的监管人员多沟通,一方面是为了更好的满足合规要求,另一方面也可以交流相关的行业经验,因为二者所处的角度不同,所以必然会有对信息安全相辅相成的交集存在。

全靠同行衬托

没有绝对的网络安全,换句话说,网络安全无论投入多少人力/物力都无法做完。那怎么评价网络安全建设阶段性成果?一个很好的衡量指标是和同行进行对比。对于董事会和公司高层来说,网络安全术语无法理解,但是你要说和同行业同体量的竞对相比,网络安全体系强在哪里,那他们就很好理解了。

因此,网络安全做的好不好,全靠同行来衬托。而当你发现自己比同行做的不好时,正是一个绝佳的申请网络安全预算的理由,同行不能输!!!

# 网络安全 # 数据安全 # 企业安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录