完善网络风险防范,保障未来发展:网络安全形势调查报告
第 7 章:有限的预算
为应对网络安全挑战,投资采购恰当的安全解决方案并吸纳顶尖人才似乎是显而易见的策略。但是,网络安全资金不足仍然是许多企业面临的问题。好消息是?企业管理层对安全问题的认知越深入,就越会支持网络安全领域的投入。而且,如果他们采取正确的安全策略,就能让这些投入发挥长远效用。
许多企业已在安全领域投入大量资源。您的企业会从总 IT 预算中划出很大比例,用于采购新的��安全解决方案并招聘相关人员。研究表明,在过去一年中,53%的组织将其全部 IT 预算的 11%-20% 用于网络安全。另有 28% 的组织至少花费了预算的 20%,即五分之一。
大型企业需要防护规模更大、结构更复杂的网络,因而在网络安全方面投入的 IT 预算占比,理应高于中小型企业。但大型企业与其他规模企业在网络安全投入上的差异,其实并不算大。在我们的调查中,超过三分之一 (35%) 的大型企业将其整个 IT 预算的五分之一以上用于安全解决方案和人员配置。但 26% 的中小型企业在 IT 预算中投入了相似的比例。
支出确实因行业而异。我们的调查发现,医疗保健、交通运输和金融服务机构在网络安全方面的投入最多。然而,这些行业的企业并不一定准备得更充分,至少根据他们自己的评估来看是如此。在我们的调查中,只有 16%的医疗保健行业受访者表示,他们已充分准备好应对安全威胁。
未来网络安全预算应该会增加。三分之二 (67%) 的受访者预计未来 12 个月会有更多预算。这些受访者预计预算将大幅增加 11%–20%。另有五分之一 (22%) 的受访者预计将维持其当前的网络安全支出水平。
在已经增加支出的领域中,企业未来将继续增加支出。来自金融服务、医疗保健和交通运输行业的调查对象均预计支出将会增加。与此同时,零售和制造业等行业可能会受到通货膨胀或其他经济趋势的影响,因此受访者预计网络安全预算将会减少。
为什么有些企业的预算会增加?网络安全事件发�生率和严重性的日益增加是主要原因。领导团队应始终根据其组织的风险状况和风险承受能力来评估网络安全预算;并非所有风险都需要大量投资。但是,越来越多的组织遭受大规模攻击,导致巨额财务损失,其中包括监管罚款、诉讼、补救工作以及声誉受损造成的业务损失。对于许多领导团队来说,这些事件超过了可以接受的风险水平:领导者意识到他们必须加大投资。
当然,并非所有投资都能带来同等的回报。例如,为了充分利用其网络安全预算,各企业仍然必须避免采用单点解决方案的弊端,因为这些方案可能会导致高昂的购置和管理成本,同时又无法提供充分的保护。
除非团队重新思考传统的安全策略,否则即使是最大规模的投资也可能不足以满足需求。正如 Cloudflare 首席安全官 Grant Bourzikas 所写:“当我在一家大型全球银行担任首席信息安全官时,我们有十亿美元的预算和 1500 名负责安全的员工。但即使是这些资源也不足以加强安全性并充分保护企业免受不断演变的威胁。
无论预算多少,安全领导者都需要确保他们投资于能够产生最大影响的方案。对于大多数组织而言,实施单一的统一安全平台是最佳方法。通过统一安全措施,企业既可以应对各种安全威胁,又能避免因采用大量单点解决方案而导致的复杂性,以及持续性人才短缺带来的挑战。企业可以通过提高运营效率来加强准备。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
关键要点
阅读本文后,您将能够了解:
来自于 4000 多名网络安全专业人士的调查结果
关于安全事件、准备工作与结果的新发现
CISO 应考虑哪些因素,以保障企业未来发展并改善业务成果