CISO预算策略：将网络安全转化为不可或缺的业务赋能器

预算规划现状：增长与挑战并存

年度预算规划季再次开启。对于每位首席信息安全官（CISO）或安全经理而言，这不仅是复盘过往成果的时刻，更是定义新目标、将计划转化为具体“经济账”并最大化投资回报率（ROI）的关键节点，终极梦想是达到一个足以让人安枕无忧的数字安全水平。然而，实现这一目标的第一步是争取到预算批准，而这需要一些策略。

近年来，CISO的支出持续增长，但在董事会眼中，“逐年花费更多”并不总是等同于“花费得当”。安全专家的建议是转变思维模式，在向董事会阐述时，从“成本支出”心态转向“战略投资”心态。

目录

• 安全预算的时间趋势
• 思维模式的转变
• 如何应用思维模式的转变

安全预算的时间趋势

网络安全支出在过去几年中波动不定，有些报告追踪到增长，有些则指出下降，或更准确地说，相较于前几年增长放缓。

根据Beinsure的2025年信息安全支出趋势报告，网络安全支出呈现增长：“网络安全支出在过去四年中增长了70%（响应率：27%）。尽管受访者之间的增长率存在显著差异，但大多数行业的预算总体上都有显著增加。企业预算有所增长，其中一些增长了100%……这种增长很可能归因于快速的数字化以及随之而来的近年来网络安全风险的增加。”

当然，疫情时期也产生了影响，数字资产的增加推动了支出的上涨。

然而，穆迪在2019年至2023年间进行的一项网络安全调查显示，少数受访者的支出有所下降。这一下降信号在2025年再次出现。IANS Research和Artico Search于今年八月发布的《2025年安全预算基准报告》指出：“网络安全预算在2025年平均增长了4%，但低于前一年的8%，这可能是由于经济不确定性；网络安全支出从总IT支出的11.9%降至10.9%，中断了连续五年的上升趋势。”

这些数据来源于对美国及加拿大不同行业的580名信息安全负责人的访谈。如果仅看这些数据，可能会让人觉得CISO获得的预算增长并未达到所需水平。但正是在这一点上，支出逻辑可以发生转变，成为投资的催化剂。

思维模式的转变

根据毕马威（KPMG）2025年网络安全调查，99% 的安全负责人预计在未来两到三年内增加其网络安全预算。

这种增加支出的承诺（其中大多数人（54%）预计将有6%至10%的显著增长）似乎表明，网络安全已不再是IT部门的成本中心，而是企业抵御风险、实现韧性的基本要务。

网络安全专家、《网络危机》一书的作者埃里克·科尔强调了这一趋势的意义：“99%的网络安全预算增长不是一种支出趋势，而是一种承认。领导者们明白网络风险就是商业风险，忽视它已不再可行。” 因此，这不再是一种支出选择，而是一项战略性投资。

根据毕马威的报告，支出激增似乎是由于基于人工智能的威胁影响，对手利用AI创建高度复杂的攻击，试图大幅降低攻击门槛。

美国有线电视新闻网军事分析员、美国空军退役上校、Cedric Leighton Associates公司总裁塞德里克·莱顿指出了另一个可能的支出方向：“当当前的加密技术变得过时，CISO将被要求整合某种形式的后量子加密。”

这位上校还强调了地缘政治视角下的战略远见。“增加网络安全支出有助于保护关键网络，如果实施时具备一定的战略远见。CISO必须认识到网络威胁环境在不断演变。来自中国和俄罗斯等民族国家的威胁正变得更具危害性，CISO必须同时关注技术发展和地缘政治动态。”

因此，关注点必须从单纯增加支出转向战略性投资。

Wiz的2026年预算基准报告数据（基于对300多名安全负责人的访谈）也指出预算在增加，但对影响存在一些担忧。“85%的组织今年增加了网络安全支出，近十分之九的组织预计在2026年将进一步增加支出”，尽管报告强调“更多的投资并未带来更大的信心。超过一半的安全负责人表示，其组织仍未投入足够的资金来应对所面临的风险。随着预算季节临近，CISO们面临压力，需要证明支出的增长能转化为实际影响。”

问题似乎在于缺乏对资金所能带来成果的清晰描述。即，网络安全投资回报率的问题要求与董事会的预算讨论从关注“活动”转向关注“实际影响”。

因此，报告建议“向董事会提交方案时，量化每项投资相关的风险差值”，因为“对回报的精确描述能赢得信任和未来的资金支持。” 每一项支出项目都应从投资角度进行解释，阐明其投资回报率。例如，增加人员技能方面的支出可以被描述为工作方式的转型，即通过技术系统自动化重复性任务，并重新分配预算用于现有员工的再培训，转向基于云计算和人工智能的安全领域。这样既能提升技能，又能优化成本，并投资于现有员工的未来。

如何应用思维模式的转变

因此，如果衡量一位CISO的标准不仅在于预防了多少事件，还在于其从安全投资中创造价值的能力，那么就有必要从基于技术成本中心的叙述，转向基于数据支撑的业务战略赋能叙述。

这意味着，董事会管理层可能不完全理解正在保护什么，但他们有兴趣了解安全投资如何促进增长、韧性和竞争优势。

为了从被视为成本中心转变为被视为战略推动者，有必要在2026年有效地构建安全提案：围绕风险、收入和资源，而非工具和威胁清单。

行动方向是构建一个有说服力的商业案例，将技术需求转化为管理语言，重新构建惯常的叙述方式。有三大基本支柱：

1. 风险降低：量化节省的财务影响。从数据泄露的平均成本与潜在威胁出发，可以展示降低可能性计划的相关成本及其对应的清晰、可计算的价值。一个可用的指标是投资前后的年度预期损失。

2. 运营效率：展示所提议计划的运营效率，突出其为公司节省的时间和金钱。例如，考虑投资于一个自动化且具备AI功能的事件管理系统，可以展示误报数量的减少和平均响应时间的缩短。因此，提供效率指标及其趋势，突出其对利润的直接影响，是董事会关注的主题。

3. 业务赋能：作为增长引擎。如果坚实的安全战略成为一个差异化因素，那么它会影响客户信任和忠诚度。此外，符合安全法规可以助力进入新市场。同样，需要确定一些指标。Grab The Axe的首席执行官杰弗里·韦尔奇建议使用：

   • 安全产生的收入指标：跟踪因公司满足特定安全标准而获得的合同或客户所产生的收入。这将安全投资直接与收入生成挂钩。
   • 风险降低百分比指标：使用风险登记册评估和量化组织风险，并展示提议的预算将如何降低5-10个主要业务风险的评分（相对于其潜在影响和成本）。
   • 发生事故时的“不作为成本”：与其仅展示新控制措施的成本，不如展示不实施该措施的潜在成本。证明一天运营停机的成本，包括对公司形象的潜在损害，从而将安全支出重新构建为一种回报明确的保险单。

通过这种方式构建论点，可以将自身安全计划从被视为“必要之恶”转变为实现企业目标“不可或缺的赋能者”。这一转变，尽管对技术管理人员的思维模式至关重要，却是年底安全预算规划最有效的步骤之一。