CISOs如何在不牺牲安全性的前提下节省预算

本文探讨了CISO在面临预算削减时如何做出明智决策,避免安全漏洞。通过结构化风险评估、业务对齐和工具优化,实现在不增加风险的前提下有效控制成本。

So sparen CISOs, ohne die Sicherheit zu torpedieren

Tipp
8. Aug. 2025 · 7 Minuten · CSO und CISO

预算削减时安全决策者的艰难抉择

当安全预算面临削减时,CISO的决策空间非常有限。
TippaPatt | shutterstock.com

多年前,Transmit Security的CISO顾问David Mahdi曾面临每个安全决策者都恐惧的情况:年中预算被大幅削减,且无法推迟任何项目。“那是一次由内部问题、技术债务、市场压力和地缘政治因素共同造成的失控局面。我被迫迅速做出痛苦的妥协,”这位顾问回忆道。

鉴于削减速度之快,Mahdi很快意识到这必然会产生漏洞。这一经历塑造了他应对财务困境的方法。他建议处于类似情况的CISO们,必须有意识且深思熟虑地决定哪些领域可以削减,哪些必须不惜一切代价保护:“警惕错误的节约政策,即在每个领域都进行削减。这会创造最初看不见的漏洞,直到某天出现问题。”

CISO应在何处动刀

越来越多的安全决策者很可能很快会陷入类似困境。根据最新研究,网络安全预算两位数增长的时代似乎已经结束。IANS Research和Artico Search的《安全预算基准报告》显示,八分之一的CISO(共750名受访者)在2024年面临预算削减。近三分之一的CISO表示预算不足。CISO支出细分如下:

  • 37%用于人员薪酬,
  • 23%用于外部软件,
  • 5%用于硬件,
  • 仅4%用于培训计划,
  • 3%用于非指定用途支出。

有限的分配表明,安全决策者在预算削减时几乎没有回旋余地。因此,必须在保护什么和减少什么之间做出决定,而不危及公司,这需要战略思维。但据Mahdi称,同样重要的是保持正确的态度:“当预算被削减时,我将其视为重新评估现有风险假设和遗留支出,并将网络安全投资与业务关键结果对齐的机会。”

结构化方法:三个维度

安全专家采用基于以下三个维度的结构化方法:

  1. 战略风险:如果此控制措施失败,实际风险有多高?
  2. 业务对齐:哪些功能支持收入、客户信任或合规性?
  3. 无需思考:冗余工具、闲置软件或属于“安全剧场”类别的控制措施(纸上谈兵好,无实际保护)。

为此评估,Mahdi组建了一个跨职能团队,包括各业务部门领导、安全架构师、威胁情报专家以及公司内外的其他可信人员。“这种协作方法不仅分散责任,还有助于发现盲点,并使削减与公司整体风险状况对齐,”安全顾问解释道。他的方法还依赖关键指标,以评估特定工具或流程是否高效运行,并考虑投资能多快提供可衡量结果:“通过此框架,CISO可以识别可在不显著增加风险的情况下削减的领域,”Mahdi承诺。

优先削减领域

据顾问称,首先应检查冗余工具:“如果两个工具功能大部分重叠,保留集成和支持更好的那个。然后,可以转向旧的、以合规为导向的控制措施,这些通常可以合理化。专注于有效的控制,而不是仅用于勾选清单框的那些。这对过度依赖旧治理、风险和合规结构的公司尤其重要,”Mahdi阐述道。

但并非每项预算决策都是非黑即白的。一些倡议,如实验性或创新项目,处于灰色地带:它们有价值,但不一定时间紧迫。在财务紧张时期,此类项目可以暂时搁置,特别是如果它们不涉及紧急威胁或合规要求,Mahdi表示——但补充道:“为维持团队对暂停创新项目的士气,应制定详细的重启策略,一旦预算状况改善。”

人与流程的重要性

Approach Cyber的CISO Laura Gonzalez Priede在预算削减时关注人和流程:“工具虽重要,但许多可以被开源或自研替代品取代。由有能力员工支持的强大流程通常可以补偿特定工具的缺失。”

如果仍无法避免裁员,Mahdi建议拓宽视野:“不应假设技术最复杂的角色也是最关键的角色。有时,将安全与业务结合的人员是您最重要的资产。”

安全决策者的昂贵错误

确定网络安全预算的最佳削减点很复杂。加上时间压力,情况更糟,如Mahdi所知:“根据我的经验,CISO在压力下过多削减检测和响应能力、事件准备计划和安全操作的资源。”

这些决策者假设更强的预防措施证明减少事件处理投资是合理的。但Mahdi认为这是冒险之举:“预防很棒,但总会有东西突破。如果真出问题,关键不是控制措施的数量,而是响应时间、遏制攻击和尽快恢复。”

Mahdi称,CISO在预算削减时犯的另一个错误是削减跨职能角色,如产品安全、治理或业务导向的风险管理:“这些角色是纽带。如果消失,安全变得被动、被误解和边缘化。”

Approach Cyber经理Gonzalez Priede类似地关注人员和培训:“持续培训确保员工保持能力和安全意识。在不断演变的威胁环境中至关重要。”

另一个常见疏忽是流程文档领域。这对业务连续性至关重要——特别是关键员工离职时:“没有良好记录的流程,公司风险失去关键知识和执行一致性。这可能带来不可预见的风险。” (fm)

相关阅读

  • IT安全职位——5个残酷真相 · Eric Frank · 7. Aug. 2025 · 9分钟
  • 7个应戒掉的安全实践 · John Edwards和Florian Maier · 24. Juli 2025 · 6分钟
  • NIS2实施法:管理层承担私人财产责任 · Mareike Gehrmann和Karolin Nelles · 22. Juli 2025 · 9分钟

作者: Andrada Fiscutean
自由撰稿人

关注Andrada Fiscutean on X
关注Andrada Fiscutean on LinkedIn

Andrada是一名国际科技记者,作品见于Ars Technica、Vice Motherboard、ZDNet等。拥有20年广播记者经验,10年科技报道经验,4年电视新闻配音经验。其关于网络安全举报人的故事获2024年AZBEE奖。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次