预算削减下CISO如何在不牺牲安全性的前提下缩减规模

本文探讨了CISO在面临预算削减时如何通过明确优先级、透明决策和关注人员与流程来维持安全水平,避免因错误削减导致长期风险,并提供了实用的评估框架和常见陷阱分析。

预算削减下CISO如何在不牺牲安全性的前提下缩减规模

当预算削减来袭时,CISO面临艰难选择。但明确的优先级、透明度以及对人员和流程的关注可以帮助他们应对这一时刻。

多年前,Transmit Security的CISO顾问David Mahdi发现自己面临没有安全领导者愿意面对的情况:年中突然的预算削减,且无法延迟。“这是内部问题、遗留技术债务、市场压力和地缘政治不可控地汇聚在一起的结果,”他说。财务压力迫使他快速做出痛苦的权衡。

“鉴于削减要求的快速步伐,我们认识到这个过程不会完美,并且不可避免地会产生差距,”他告诉CSO。

这一经历塑造了他应对财务约束的方式。他现在敦促面临类似挑战的CISO设定明确的优先级,并有意地、经过深思熟虑地决定缩减什么和保护什么。“警惕在所有事情上薄薄切片的虚假经济。它创造了看不见的脆弱性。直到某件事破裂,没有人感觉到削减。”

如何在减少资源的同时保持安全

在减少资源的同时保持安全可能感觉像是一项不可能的任务。每个决定都伴随着权衡,错误的余地很小。

网络安全支出两位数增长的日子可能已经过去。根据IANS Research和Artico Search的安全预算基准报告,八分之一的CISO报告2024年预算削减,而约四分之一的人表示预算保持平稳。即使在获得更多资金的大多数人中,大多数报告只有适度的增长——通常在1%到5%之间。不出所料,近三分之一的CISO表示当前预算不足所需。

在分解支出时,最大部分(37%)用于员工和薪酬。场外软件占23%,其次是外包、本地工具和特定项目的较小分配。只有5%用于硬件,4%的预算用于培训和发展。最后,只有3%用于自由支配支出。

这种精益分配意味着当预算削减来袭时,安全领导者被迫做出艰难决定,通常没有明确选择。选择保护什么、缩减什么以及如何在不使组织面临风险的情况下做到这一点需要战略思维。但心态同样重要。“当预算缩小时,我将其视为验证先前风险假设、挑战遗留支出并使安全投资与业务关键结果保持一致的机会,”Mahdi说。

他使用围绕三个维度构建的结构化方法:

  • 战略风险(高、中、低):如果此控制失败,实际暴露是什么?
  • 业务对齐:哪些功能支持收入、客户信任或合规性?
  • 无需思考:这些是冗余工具、搁置软件或“安全剧场”控制,在纸面上看起来不错但没有提供可衡量的保护。

对于此评估,Mahdi召集了一个跨职能团队,包括业务部门领导者、安全架构师、威胁情报负责人以及组织内外的可信同行。这种协作方法不仅分散了责任,还有助于发现盲点并使削减与组织的整体风险状况保持一致。

他还依赖关键指标来帮助评估某些工具或流程是否高效,并权衡覆盖范围与复杂性,试图确定解决方案是解决独特的安全挑战还是仅仅重复现有努力。最后,他考虑投资能多快交付可衡量的结果。使用此框架,CISO可以识别可以在不显著增加风险的情况下缩减的领域。

从哪里开始

首先要评估的领域之一是冗余工具。“如果两个工具完成70%的相同工作,保留具有更好集成和支持的那个,”Mahdi说。然后,CISO可以转向遗留合规驱动的控制,这些通常可以合理化。“专注于有效的控制,而不是复选框式的控制,尤其是在过度依赖遗留治理、风险和合规性的组织中。”

然而,削减应谨慎进行。“遵守适用法规是不可协商的,”Approach Cyber的CISO Laura Gonzalez Priede说。这就是为什么安全领导者必须清楚了解其法律义务,并确保对安全计划的任何调整都不会危及合规性或满足核心业务需求的能力。

并非每个预算决定都是黑白分明的。一些倡议,如创新或实验项目,处于灰色地带;它们有价值,但并不总是紧急。在财务压力时期,这些努力可以暂时搁置,特别是如果它们不解决紧迫威胁或合规需求。

然而,为了在创新项目暂停期间保持团队士气,Mahdi建议让他们制定详细的恢复策略,以备预算条件改善时使用。这应该给他们一种目标感,同时确保组织在更多资源可用时能够快速恢复势头。

在削减时期,Gonzalez Priede优先考虑人员和流程而不是工具。“虽然工具很重要,但许多可以用开源或内部开发的替代品替换,”她说。“由有能力人员支持的强大流程通常可以补偿特定工具的缺失。”

在人员削减方面,Mahdi强调了超越职位头衔或技术认证的重要性。“不要假设最技术性的角色是最关键的。有时将安全与业务粘合的人员是您最高杠杆的资产。”

错误决策的成本可能超过节省

选择在哪里削减网络安全预算很少是直截了当的,匆忙进行只会增加风险。这意味着很容易做出在当时看似实用但最终损害弹性或引入隐藏漏洞的削减。

“根据我所见,太多情况下,CISO在压力下削减检测和响应能力、事件准备演习和安全运营角色,”Mahdi说。

他们假设更强的预防意味着他们可以在漏洞发生后花费更少,但这是一个危险的赌注。“总有东西会坏!虽然预防很好,但总有东西会进来,”他说。“当某件事破裂时,重要的不是控制数量。而是您的响应时间、遏制和恢复能力。”

在担任Gartner分析师期间,Mahdi看到了这一点。“在一个场景中,一位CISO削减了IR准备并将 Tier 1 SOC外包以节省预算,”他回忆道。“当漏洞发生时,提供商错过了早期迹象,而没有内部力量,组织在甚至理解范围之前就失去了关键时间。”在这种情况下,实际损失不仅仅是数据,还有可信度。

CISO犯的另一个错误是削减跨职能角色,如嵌入式产品安全、治理负责人或业务对齐的风险顾问。“这些角色是连接组织,”Mahdi说。“没有它们,安全变得被动、被误解和被边缘化。”

CISO在削减期间也可能保持沉默,减少透明度。“他们应该做相反的事!,”他说。“展示什么被保护,什么被风险接受。承担权衡并保持自信。”

保持透明和关注人员至关重要,尤其是在困难时期。Gonzalez Priede在CISO中看到的一个常见遗憾是对员工和培训投资不足,这可能会悄悄侵蚀团队能力。“持续教育确保员工保持能力和安全意识,这在不断演变的威胁环境中至关重要,”她说。此外,削减错误角色或吝啬人才通常会导致效率低下、优先级错位和更高的长期成本。

另一个频繁的疏忽是缺乏良好记录的流程,这些对于连续性至关重要,特别是在关键人员离开时。“没有它们,组织可能失去关键知识和执行一致性,这可能增加先前未预见的风险,”她说。

但反直觉的是,缩减也可能有好处。Gonzalez Priede说它鼓励安全领导者花时间重新评估优先级并改进流程以更加敏捷和结果驱动。“过渡期必须通过适当规划和监控仔细管理。”

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次