如何控制企业网络安全的管理成本
如何控制企业网络安全的管理成本
2023年,网络安全威胁和企业数字化转型业务安全保障需求不断增长。然而,伴随全球经济衰退预期和通胀压力的持续,今年的CISO(首席信息安全官)却面临着降本增效的难题,某权威调研数据显示,2022-2023年预算周期的网络安全预算增速同比下降了65%。是自斯诺登事件以来全球CISO首次面临预算增速放缓甚至缩减。
如何能够在预算紧缩和人员短缺的情况下保持企业网络安全,已经成为当下CISO面临的主要挑战。
以下的这些网络安全成本陷阱,企业主们最好了解。
一、仔细审查安全产品服务计费结构
安全信息和事件管理(SIEM)或安全运营中心(SOC)解决方案中相当常见的是复杂的计费结构,基础版本的解决方案看起来相对有吸引力,但更高级的功能,通常是CISO所需的功能,一般会额外收费。其中工具或平台的初始购买相对较便宜,但随着存储的数据量、跟踪的事件、分析的流量或监视的终端数量的增加,相关价格可能会大幅上升。
二、第三方成本也要注意。
在决定购买任何网络安全服务或与第三方合作之前,CISO应询问并仔细评估相关的所有潜在额外成本。其实每当企业购买新产品,建立全新的合作关系,或涉及知识产权而非实物产品的成本场景时,通常有很大的谈判空间。
另外一个省钱的办法就是,在要求第三方提供的服务中,坚持要求厂商为每个新产品的实施都提供充分的专业服务,由厂商的专业服务工程师远程指导,然后让自己企业安全团队中最优秀的人员亲自操作,这个人在不久之后就会学会很多内容,然后再通过这个人培训一个备份人员。从而减少内部人员的培训成本。
三、内部运营成本不可忽视
安全产品的内部成本经常被忽视。以渗透测试服务和开源解决方案为例,在使用渗透测试服务时,企业还必须考虑内部所需的时间和资源、任何潜在停机对业务造成的成本、分析报告所需的时间以及实施所需安全措施的成本。
另外,实施、管理、集成和支持解决方案会产生持续成本,例如招聘相关专业人才或聘请外部专家时产生意想不到的成本。
四、不要把预算浪费在无效的安全服务和产品上
一些企业的CISO经常会遇到一种情况:所选择乙方的安全工具或技术无法提供预期价值及投资回报。比如企业往往会为同一个功能购买两到三个产品,仅仅是因为企业不知道他们购买的原始产品中已经提供了所需的所有功能。
那么造成这种情况的主要原因就是现有系统集成不足、用户采用率不高或工具无法有效满足企业的特定安全需求。但是这类产品不仅会占用更有效的安全措施的资源,导致工具蔓延和大量冗余且可能不必要的安全控制,安全运营变得复杂。还会导致资金紧张,从而最终损害企业的整体网络安全态势。
例如,许多现代操作系统都有内置的安全功能,例如磁盘加密,如果实施这些功能,就已经可以起到作用,不用再购买相同的服务。如果管理者自己无法判断,那么就可以招聘一名产品工程师来审查安全配置并正确实施解决方案,可以省去购买新工具以及与集成和管理该工具的相关成本。
五、避免预算分配争议导致的“意外成本”
当安全方面的投入与企业战略和业务优先级想冲突的时候,企业高管和各部门主管的战略目标和观点与CISO的网络安全优先事项就会不一致。当出现这种不一致时,可能会导致预算分配方面的争议,CISO可能无法获得足够的预算去实施有效的长期战略,这个过程就会产生意外成本。
CISO在与其他部门竞争预算时需要证明其预算请求的合理性,而CISO的任何妥协可能会导致企业安全需求无法得到充分满足,从而导致企业在响应安全事件或数据泄露时的意外支出。
因此,CISO需要将其安全优先级与企业的战略目标保持一致,并定期评估安全投资的绩效,以确保资源得到有效分配,并且安全覆盖计划有效且具有成本效益。
还木有评论哦,快来抢沙发吧~