合理的网络安全预算比例是多少?

对于今天的CISO来说,在编制和优化网络安全预算之前,首先需要了解网络安全预算中哪些支出能带来最大的业务价值。

网络安全预算在数字化转型总体支出中的占比过低是一个常见错误,问题的根源是企业缺乏基准测试和量化风险,安全预算与业务增长正相关性被忽视,网络安全依然被作为成本进行管理和度量。导致网络安全预算被严重低估。

德勤最近的研究发现,网络安全已经成为企业云计算数字化转型的核心,接近50%的数字化转型支出都与网络安全有关。网络安全基准测试和预算编制是CISO推动业务增长和晋升职位的第一步,CISO需要利用每一个机会将他们的安全支出与业务收入增长挂钩。

Forrester首席分析师Chris Gilchrist在Forrester 2022年安全与风险论坛的一次会议上表示:“这意味着安全现在已成为企业战略的驱动力,而不是作为运营项目被埋没,只是作为成本进行管理和衡量。”“换句话说,安全现在可以捍卫和推动增长。”

从企业战略和业务驱动力的角度看网络安全,基于量化风险和基准测试评估网络安全项目价值,将有助于企业正确实施和扩展零信任安全框架,围绕安全整合复杂技术堆栈降低成本,并基于风险和预期损失的统计模型为安全预算赋予财务价值。

对于想要获得董事会级别职位的CISO来说,必须知道如何使用网络安全预算来帮助企业增加收入。

数字化转型以网络安全为核心

根据德勤的研究,2023年半数企业数字化转型预算和实施都严重依赖网络安全,并以其为核心元素:

资料来源:德勤 2023 年全球网络安全未来调查

每个网络安全供应商都知道,如果可以通过基准测试帮助客户微调预算,那么客户生命周期价值(CLV)——衡量客户成功的最有价值指标之一——将得到最大化。这就是领先的网络安全平台供应商拥有内部支出基准的原因,这些基准可以提供给客户和潜在客户以构建业务案例。

企业安全主管往往需要使用供应商提供的基准来确定网络安全和IT团队在预算周期中尚未考虑的巨大差距。但是,没有哪一套基准可以完美地应对具体业务的挑战,安全主管可以将安全厂商提供的基准作为网络安全预算和规划的“护栏”和参考基准。

很多安全厂商都提供成熟可用的网络安全基准,例如AT&T Cybersecurity、Boston Consulting Group、CSO Online、Cybersecurity Dive、Forrester Planning Guide 2023:Security and Risk和SANS。

Clutch最近还发布了一个有用的模板,展示了如何为小型企业制定网络安全预算。

网络安全支出基准

由于每个企业都面临着一系列独特的网络安全挑战,这些挑战因其对销售、支持和供应链网络的依赖而变得更加复杂,因此不可能对所有行业都有一个单一的、明确的基准。以下指南反映了最新基准调查的共识以及对CISO、CIO和安全与风险管理(SRM)领导者进行的采访。

用于网络安全的IT预算百分比

2022年,企业网络安全预算平均占IT总体预算的9.9%。科技、医疗和商业服务(包括保险)在网络安全投资方面领先其他行业。令人担忧的是,教育、零售和制造业在网络安全方面的支出严重偏低。

来源:IANS&Artico,安全预算基准总结报告,2022年

所有行业的CISO都被要求“事半功倍”,这使得教育、零售、制造和运输行业的预算编制过程尤其具有挑战性。

基于云的软件占网络安全预算的20%-25%

与Gartner和IDC之前的研究一致,基于云的软件支出通常占网络安全预算的20%到25%。根据给定企业和行业的云成熟度,这个数字可能会高得多。

例如,在科技和医疗行业,受访的CISO们表示,鉴于他们跨多个业务部门管理的技术堆栈复杂性,基于云的软件支出可能占他们预算的40%。

来源:IANS&Artico,安全预算基准总结报告,2022年

与其他几个基准一致,19%的网络安全预算用于基于云的系统,正如最近的IANS和Aritco调查所定义的那样。

CISO将20%的预算分配给基础设施安全

许多CISO致力于改造遗留技术堆栈,以保护基础设施、物联网、工业控制系统和运营技术(OT)应用程序和系统。

身份访问管理(IAM)和特权访问管理(PAM)是到2023年增长最快的预算类别之一。虽然德勤研究发现12%的预算分配给了IAM,而基于云的PAM系统正在帮助缩小技术堆栈中的差距。

资料来源:德勤2021年网络安全未来报告

从擅长基准测试和预算的CISO那里学到的经验教训

将基准测试和预算编制视为一个迭代过程是成功编制网络安全预算的关键所在。一位CISO透露,基准测试、预算编制和修正周期需要成为组织成功基因的一部分。

此外,基准测试数据因行业的细分市场和子细分市场而异,因此了解其面临的独特挑战至关重要。比较基准数据可以找出差距并确定何时需要采取行动。

一位制造公司的首席执行官指出,基准测试最具价值的地方是发现以前没有人考虑过的差距,并迅速纠正路线以弥补这些差距。该公司将支出重心从安全防御转向网络弹性,与其零信任计划相吻合。

最后,安全预算编制是CISO最被董事会看重的技能之一,CISO需要了解如何规划基准数据,编制既能为网络弹性提供资金又能增加企业收入的网络安全预算。CISO在平衡两者方面做得越好,职业发展的可能性就越大。

前一篇MITRE发布25个最危险的软件弱点列表
后一篇周刊 | 网安大事回顾(2023.6.26—2023.7.2)