保障未來:網路安全準備狀態報告
第 7 章:預算受限
投資合適的安全解決方案和頂尖人才似乎是應對網路安全挑戰的顯而易見的策略。然而,網路安全資金不足仍然是許多企業面臨的問題。好消息是,隨著高階主管越來越認識到安全議題的重要性,他們將更願意支持對網路安全的投資。而且,如果他們採取正確的安全策略,就能讓這些投資發揮最大效益。
許多企業已經在安全方面投入大量資金。他們從整體 IT 預算中劃撥出高比例的經費,用以購買新的安全解決方案並聘請相關人才。研究顯示�,過去一年中,有 53% 的企業將其整體 IT 預算的 11% 至 20% 用於網路安全;另有 28% 的企業至少投入 20%(也就是五分之一的預算)在安全上。
乍看之下,規模較大的企業(擁有更大、更複雜的網路需要保護)似乎應該比中小型企業在 IT 預算中安排更高比例的經費用於網路安全。然而,大型企業與其他企業在安全支出上的差異其實並不大。根據我們的調查,超過三分之一 (35%) 的大型企業將其整體 IT 預算的超過五分之一用於安全解決方案與人力配置;但也有 26% 的中小型企業將類似的預算比例用於網路安全。
支出確實會因產業而異。我們的調查發現,醫療保健、運輸與金融服務等產業的企業,在安全方面的投入最高。然而,根據這些產業企業自身的評估,它們未必就因此做好了更充分的準備。在我們的調查中,僅有 16% 的醫療保健業受訪者表示,他們已做好充分準備來應對安全威脅。
未來,網路安全預算應該會有所增加。調查中有三分之二 (67%) 的受訪者預期,未來 12 個月內安全預算將會提高。這些受訪者預計預算增幅將達 11% 至 20%。另外有五分之一 (22%) 的受訪者則預期將維持目前對網路安全的支出水準。
已在安全方面投入較多的產業,其企業未來也將持續提高安全支出。來自金融服務、醫療保健與運輸業的調查受訪者,都預期將增加相關預算。與此同時,零售與製造業等可能受到通膨或其他經濟趨勢影響的產業受訪者,則預期將縮減網路安全預算。
為何有些企業的預�算會擴增?網路安全事件發生頻率與嚴重程度的不斷上升是主要原因。領導團隊在評估安全預算時,應始終根據企業自身的風險狀況與風險承受度來衡量:並非所有風險都值得投入巨額資金。然而,越來越多企業已面臨大規模攻擊,導致鉅額財務損失——包括因監管罰款、訴訟、補救措施,以及因聲譽受損而流失的商機所造成的損失。對許多企業領導團隊而言,這些事件已超出其可接受的風險範圍:他們意識到必須加大投資力度。
當然,並非所有的投資都能帶來相同的效益。舉例來說,為了充分發揮網路安全預算的效益,企業仍須避免落入單點式解決方案的陷阱,這類方案可能產生高昂的採購與管理成本,卻無法提供足夠的保護。
除非團隊重新思考傳統的安全策略,否則即使投入再龐大的資金,也可能仍然不夠。正如 Cloudflare 資安長 Grant Bourzikas 所寫:「當我擔任一家大型全球性銀行的 CISO 時,我們的安全預算高達十億美元,還配有 1500 名安全人員。但即使是這些資源也不足以強化安全性並充分保護企業免受不斷變化的威脅。」
無論預算多少,安全領導者都需要確保將資金投入能夠產生最大影響的方法。對大多數組織而言,實施單一的統一安全平台是最佳方案。透過統一安全,組織可以應對各種安全威脅,同時避免眾多獨立解決方案帶來的複雜性以��及持續的人才短缺挑戰。組織可以在增強安全防範能力的同時,提高營運效率。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其中之一。
重點
閱讀本文後,您將能夠瞭解:
對超過 4,000 名網路安全專業人士進行調查所取得的結果
關於安全事件、準備狀態和成果的新發現
CISO 為保障組織未來和實現更好成果的考量事項