在咱们中国,有句话叫:年到头月到尾。是这个年周期总结的月份,也是一个下一个年周期开始谋划的月份。那么,在网络安全领域,如何把握明年的决策呢?在IBM的网站上有这么一篇文章,可以参考。虽然各个国家都有自己的实际情况,不过有些方法论是放之四海而皆准的,我们通过拿来主义一起看看2025如何明智的考虑网络安全支出。
十二月一年之末,也是一岁将始。但对于企业领导者来说,本月最重要的数字是 2025 年的预算数字。由于网络安全是 2025 年许多企业的首要关注点,因此它很可能成为新年许多预算中的头条项目。
Gartner 预计,到 2025 年,网络安全支出预计将增长 15%,从 1,839 亿美元增至 2,120 亿美元。安全服务是支出增长最快的领域,安全软件位居第二,网络安全是第三大增长领域。
Gartner 高级研究主管 Shailendra Upadhyay 在最近的新闻稿中表示:“持续加剧的威胁环境、云迁移和人才短缺将安全推到了优先事项的首位,并迫使首席信息安全官 (CISO) 增加其组织的安全支出。” “此外,组织目前正在评估其端点保护平台 (EPP) 和端点检测和响应 (EDR)需求,并在 CrowdStrike 中断后 进行调整以提高其运营弹性和事件响应。”
导致支出增加的因素
尽管支出决策和增长可能出于多种不同的原因,但 Gartner 指出了预测增长的两个主要原因。
- 生成式人工智能: Garter 表示,由于组织使用生成式人工智能,他们将需要采取额外措施来保护其环境。IBM生成式人工智能安全框架列出了五个步骤:保护数据、保护模型、保护使用、保护人工智能模型基础设施和建立健全的人工智能治理。由于生成式人工智能的使用增加,许多组织将需要购买额外的软件,例如应用程序安全、数据安全以及隐私和基础设施保护。
- 全球技能短缺:许多组织都面临技能短缺的问题,他们没有内部人才来管理他们的网络安全需求。作为一种解决方案,许多组织正在聘请帮助来降低风险,例如安全咨询服务、安全专业服务和托管安全服务。Gartner 指出,这些服务的成本是预计支出较高的一个驱动因素,使服务成为网络安全的一个高增长领域。
创建网络安全预算
准确的预算编制不应只是简单地在组织的预算中列出包含网络安全的单独项目,而应从列出有效网络安全计划的所有组成部分开始。
在预算中考虑以下因素:
- 劳动力成本:除了所有全职员工的工资外,还要考虑您需要购买的任何额外服务。例如,外包渗透测试就属于这一类。此外,考虑您是否需要为网络安全的任何部分聘请托管服务。
- 技术:考虑所需的所有类型的软件,包括防病毒软件、加密工具和防火墙。考虑您是否将使用生成式人工智能来保障网络安全,以及保护组织免受用于日常业务任务的生成式人工智能工具攻击所需的其他工具。一定要包括硬件成本,例如运行任何新技术工具(尤其是生成式人工智能)所需的任何基础设施升级。
- 培训:许多组织只考虑为网络安全员工提供培训和认证的预算。但是,一定要为整个组织分配网络安全培训资金。通过跳出固有思维模式并留出足够的资金,您可以大大减少因员工失误而导致的网络攻击。
- 事件响应:发生违规或攻击后,组织需要资金来控制违规并管理响应。经常发生的成本包括法律费用、公关公司费用、加班费、数据泄露通知、身份盗窃保护和收入损失。
预算可能会影响员工压力
虽然许多组织在制定网络安全预算时会考虑业务中断和潜在风险,但许多组织忽视了预算对网络安全团队的影响。
ISACA 2024年及以后网络安全状况调查发现,66% 的网络安全专业人员表示他们的角色压力更大。毫不奇怪,首要原因 (81%) 是威胁形势日益复杂。然而,预算太低 (45%) 与招聘留任挑战加剧和员工缺乏技能/培训并列第二。
报告发现,超过一半(51%)的人认为他们的预算资金不足,高于 2023 年持这种观点的 47%。此外,只有 37% 的人预计他们的预算将在 2025 年增加。更令人紧张的是,只有 40% 的人高度相信他们的团队已做好应对网络攻击的准备。与此同时,47% 的人预计他们的组织会遭受网络攻击。
制定 2025 年预算的同时减轻员工压力
当企业领导者制定预算时,这里有一些方法可以减轻与 2025 年预算相关的员工压力。
- 让亲力亲为的网络安全团队成员参与预算讨论。当员工感到他们的观点和想法被听取时,他们不太可能产生怨恨。此外,他们可以亲眼看到预算中的权衡以及每个决策对其他项目的影响。
- 让员工分享他们目前面临的挑战。通过了解他们的问题,您可以利用这些问题来推动预算决策。如果团队成员跳到技术解决方案,请引导他们首先讨论问题。
- 让您的网络安全团队进行研究并获取估算。一旦您进入预算的解决方案部分,请网络安全团队成员研究工具并获取估算。由于他们将是日常使用这些工具的人,因此让他们认同特定的解决方案可以帮助提高满意度并提高预算的准确性。
- 向团队成员展示预算草案。预算编制通常意味着做出艰难的决定。通过向团队展示预算草案并征求他们的意见,他们感觉自己被倾听,也能看到预算编制过程中必要的权衡。
虽然网络安全支出的增加总体上是一个积极的趋势,但最重要的是公司如何使用这些增加的投资。通过为您的特定组织做出正确的选择,您可以降低风险,同时提高员工满意度。
