在 2025 年做出明智的网络安全支出决策
出版 13 十二月 2024
十二月是一个充满数字的月份,从节日倒计时到派对邀约回复。但对企业领导者而言,本月最重要的数字是 2025 年的预算数字。随着网络安全成为 2025 年许多企业的首要关注点,它很可能成为新年预算中的重要支出项目。
Gartner 预计,2025 年网络安全支出将增长 15%,从 1839 亿美元增至 2120 亿美元。安全服务支出预计增长最快,安全软件位居第二,网络安全则位列增长领域的第三位。
Gartner 高级研究主管 Shailendra Upadhyay 在近期新闻稿中表示:“持续严峻的威胁环境、云迁移以及人才短缺,正将安全推至优先事项首位,并迫使首席信息安全官 (CISO) 增加其组织的安全支出。”“此外,各组织目前正在评估其 端点保护平台 (EPP) 和端点检测与响应 (EDR) 需求,并正在进行调整,以在 CrowdStrike 服务中断后提升其运营弹性和事件响应能力。”
虽然支出决策和增长可能源于多种不同原因,但高德纳公司指出预测增长的两个主要原因。
- 生成式 AI:Garter 表示,由于组织使用生成式 AI,他们将需要采取额外措施来保护其环境安全。IBM 生成式 AI 安全框架制定了五个步骤:保护数据、保护模型、保护使用过程、保护 AI 模型基础设施以及建立完善的AI治理。由于生成式AI使用量的增加
,许多组织将需要购买额外的软件,例如应用安全软件、数据安全与隐私软件以及基础设施保护软件。 - 全球技能短缺:许多组织正面临技能短缺问题,缺乏内部人才来管理其网络安全需求。作为解决方案,许多组织正在通过寻求外部帮助来降低风险,例如安全咨询服务、安全专业服务和 托管安全服务。Gartner 指出这些服务的成本是推动预测支出走高的因素,使得服务成为网络安全的高增长领域。
准确的预算编制始于分解有效网络安全计划的所有组成部分,而非仅在组织预算中简单设置一个涵盖网络安全的单一列项。
在编制预算时请考虑以下因素:
- 劳动力成本:除所有全职员工的薪资外,还需考虑需采购的任何额外服务。例如,外包渗透测试就属于此项支出。此外,需评估是否需要对部分网络安全工作采购托管服务。
- 技术:考虑所需的各类软件,包括防病毒软件、加密工具和防火墙。考虑是否将使用生成式 AI 进行网络安全防护,以及需要哪些额外工具来保护组织免受针对日常业务所用生成式 AI 工具的攻击。此外,务必包含硬件成本,例如为运行任何新技术工具(特别是生成式 AI)所需的基础设施升级费用。
- 培训:许多组织仅考虑网络安全员工的培训和认证预算。但务必为整个组织的网络安全培训分配资金。通过跳出固有思维并预留充足资金,可显著减少因员工错误引发的网络攻击。
- 事件响应:发生漏洞或攻击后,组织需要资金来控制漏洞并管理响应。常见成本包括法律费用、公关公司、加班费、数据泄露通知、身份盗用保护及收入损失。
许多组织在制定网络安全预算时考虑了业务中断和潜在风险,却忽略了预算对网络安全团队的影响。
ISACA 2024年及未来网络安全现状报告发现,66% 的网络安全专业人员表示其岗位压力更大。毫不意外,首要原因 (81%) 是威胁态势日趋复杂。然而,预算过低 (45%) 与招聘保留挑战加剧、员工技能/培训不足并列第二大原因。
该报告发现,超过半数 (51%) 的受访者认为其预算资金不足,较 2023 年持此观点的 47% 有所上升。此外,仅 37% 的受访者预计其预算将在 2025 年获得增加。更令人压力倍增的是,仅 40% 的受访者对其团队应对网络攻击的准备度抱有高度信心。而与此同时,47% 的受访者预期其所在组织将遭受网络攻击。
在企业领导者制定预算之际,以下方法有助于缓解员工对 2025 年预算的焦虑。
- 让一线网络安全团队成员参与预算讨论。当员工感到自己的观点和想法被倾听时,他们产生抵触情绪的可能性就会降低。此外 他们能亲身体会预算中涉及的权衡取舍,以及每项决策对其他预算项目的影响。
- 请员工分享他们当前面临的挑战。从理解他们的问题入手,您便可以以此为依据来制定预算决策。如果团队成员直接跳转到技术解决方案,应引导他们先回归问题本身的讨论。
- 让网络安全团队进行调研并获取报价。当进入预算制定的解决方案阶段时,请网络安全团队成员负责调研工具并获取报价。由于他们将是这些工具的日常使用者,赢得他们对具体方案的支持,既能提升满意度,也能提高预算的准确性。
- 向团队成员展示预算草案。制定预算往往意味着需要做出艰难决策。通过向团队展示预算草案并征求他们的意见,他们既能感受到被倾听,也能理解作为预算流程必要组成部分的权衡取舍。
尽管网络安全支出的增加总体上是积极趋势,但最关键的是企业如何运用这些增长的投资。通过为您的特定组织做出正确选择,您可以在降低风险的同时提升员工满意度。