CISOs如何在预算削减中保障安全:策略与陷阱

本文探讨了CISOs在面临预算削减时如何做出关键决策,避免安全漏洞,通过战略风险评估、业务对齐和工具优化来维持企业安全,同时分析了常见错误及其后果。

So sparen CISOs, ohne die Sicherheit zu torpedieren

Tipp
8. Aug. 2025 · 7 Minuten · CSO und CISO

预算削减时,安全决策者需做出艰难选择——并确保最终不会适得其反

当安全预算受到威胁时,CISOs的发挥空间非常有限。
图片来源:TippaPatt | shutterstock.com

多年前,David Mahdi(现为IAM专家Transmit Security的CISO顾问)曾面临每个安全决策者都可能畏惧的情况:预算需要在年中大幅削减,且无法推迟任何事项。“那是一次由内部问题、技术债务、市场压力和地缘政治因素共同造成的不可控局面。我被迫迅速做出痛苦的妥协,”这位顾问回忆道。

鉴于削减预算的速度之快,Mahdi很快意识到这必然会导致漏洞。这一经历塑造了他应对财务困境的方法。他建议处于类似情况的CISOs,首要任务是做出有意识且深思熟虑的决策,确定哪些领域可以削减,哪些必须不惜一切代价保护:“警惕错误的节约政策,即简单地在每个领域都削减预算。这会创造最初看不见的弱点——直到某些东西崩溃。”

CISOs应在何处动刀

越来越多的安全决策者很可能很快会陷入这种困境。根据当前研究结果,网络安全预算两位数增长的时代似乎已经结束。IANS Research和Artico Search的最新“安全预算基准报告”显示,八分之一的CISO(共750名受访者)在2024年面临预算削减。近三分之一的CISO表示预算不足。在CISO支出的细分中:

  • 37%用于人员或薪酬,
  • 23%用于外部软件,
  • 5%用于硬件,
  • 仅4%用于培训计划,
  • 3%用于非预先指定的支出。

有限的分配表明,安全决策者在预算削减时几乎没有回旋余地。因此,在决定保护什么和减少什么而不危及公司时,需要战略思维。但据Mahdi称,同样重要的是保持正确的态度:“当预算被削减时,我将其视为一个机会,重新评估现有的风险假设和遗留支出,并将网络安全投资与业务关键结果对齐。”

安全专家采用了一种结构化方法,基于以下三个维度:

  1. 战略风险:如果此控制措施失败,实际风险有多高?
  2. 业务对齐:哪些功能支持收入、客户信任或合规性?
  3. 无需思考:冗余工具、闲置软件或属于“安全剧场”类别的控制措施(纸上谈兵,无实际可衡量的保护)。

为此评估,Mahdi组建了一个跨职能团队,包括各业务部门的领导、安全架构师、威胁情报专家以及其他公司内外的可信人员。“这种协作方法不仅分担责任,还有助于发现盲点,并使削减与公司的整体风险状况对齐,”安全顾问解释道。他的方法还依赖关键指标,以评估特定工具或流程是否高效运行,并考虑投资能多快提供可衡量的结果:“通过此框架,CISOs可以识别可以在不显著增加风险的情况下减少的领域,”Mahdi承诺。

首先关注的领域

据顾问称,首先应检查冗余工具:“如果两个工具在功能上大部分重叠,保留集成和支持更好的那个。然后,您可以转向旧的、以合规为导向的控制措施,这些通常可以简化。专注于有效的控制,而不是仅仅用于勾选清单上的框框。这对于过度依赖旧治理、风险和合规结构的公司尤其重要,”Mahdi阐述道。

但并非每个预算决策都是非黑即白的。一些倡议,如实验性或创新项目,处于灰色地带:它们有价值,但不一定时间紧迫。在财务紧张时期,此类项目可以暂时推迟,特别是如果它们不涉及紧急威胁或合规要求,Mahdi表示——但补充道:“为了维持团队对暂停创新项目的士气,您应制定详细的重启策略,一旦预算状况改善。”

Approach Cyber的CISO Laura Gonzalez Priede在预算削减时关注人员和流程:“工具虽然重要,但许多可以通过开源或自开发替代品替换。由有能力员工支持的强大流程通常可以弥补特定工具的缺失。”

如果无法避免裁员

如果无法避免裁员,Mahdi建议拓宽视野:“您不应假设技术最复杂的职位角色也是成功最关键的。有时,将安全与业务联系起来的人员是您最重要的资产。”

安全决策者可能犯的昂贵错误

确定网络安全预算的最佳削减点很复杂。加上时间压力,情况更糟,正如Mahdi所知:“根据我的经验,CISOs在压力下过多地削减检测和响应能力、事件准备计划和安全运营的资源。”这些决策者认为,更强的预防措施证明不再需要大量投资于安全事件的处理。但Mahdi认为这是一个冒险的举动:“预防很棒,但总会有东西突破。如果真出了问题,关键不是控制措施的数量,而是响应时间,以及遏制攻击并尽快恢复。”

Mahdi称,CISOs在预算削减时犯的另一个错误是削减跨职能角色——例如产品安全、治理或业务导向的风险管理:“这些角色是纽带。如果它们消失,安全变得被动、被误解并被边缘化。”

Approach Cyber经理Gonzalez Priede类似地关注人员和培训:“持续教育确保员工保持能力和安全意识。在不断演变的威胁环境中,这至关重要。”安全决策者认为,另一个常见疏忽涉及流程文档领域。这对于业务连续性至关重要——特别是如果关键员工离开公司:“没有良好记录的流程,公司风险失去关键知识和执行一致性。这也可能带来不可预见的风险。”(fm)

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次