在危機(jī)中如何削減預(yù)算又不降低安全性？

Terena Bell Charles

長(zhǎng)期以來(lái)，人們都知道信息安全領(lǐng)域一直是人員不足，資金不足，疫情之前的確是這種情況。在當(dāng)前經(jīng)濟(jì)低迷時(shí)期，信息安全領(lǐng)域面臨更大的壓力，研究公司Pulse在6月4日的報(bào)告中稱(chēng)，目前23%的安全預(yù)算被凍結(jié)，49%的預(yù)算被削減了。

那么，當(dāng)CEO要求削減資源不足的預(yù)算時(shí)，首席信息安全官應(yīng)該從哪里下手呢？更具體地說(shuō)，有沒(méi)有一種方法可以使這些削減措施在經(jīng)濟(jì)重啟后不會(huì)成為永久性的？首席安全官與顧問(wèn)、供應(yīng)商和首席信息安全官相互交流，得出了以下最佳建議：

1.找到技術(shù)上的重疊

在人、過(guò)程和技術(shù)的金三角中，首先要看技術(shù)——也就是企業(yè)已經(jīng)擁有的軟件。Cyxtera聯(lián)邦集團(tuán)總裁兼首席信息安全官Leo Taddeo指出，“應(yīng)找出在哪些地方可以通過(guò)創(chuàng)新來(lái)提高效率?！庇捎诤芏嗉夹g(shù)供應(yīng)商都在不斷地增加新功能，因此現(xiàn)在可能會(huì)在技術(shù)上有一些重疊，而這在初次使用時(shí)還不存在。以當(dāng)前的端點(diǎn)保護(hù)套件為例，Taddeo指出，它可能還提供了重要的防病毒保護(hù)功能，“如果首席安全官認(rèn)識(shí)到這兩方面都產(chǎn)生了成本，那么在此就可以節(jié)省成本?！?/p>

與其他部門(mén)合作，看看他們使用了什么技術(shù)。識(shí)別影子IT一直是個(gè)難題，所以應(yīng)從熟知的系統(tǒng)開(kāi)始，尤其是那些應(yīng)用非常廣泛的系統(tǒng)。Taddeo說(shuō)：“在現(xiàn)有的平臺(tái)上，比如Windows 10，就已經(jīng)具備了一些功能，首席信息安全官可以簡(jiǎn)單地打開(kāi)一項(xiàng)安全功能來(lái)降低風(fēng)險(xiǎn)?！?/p>

無(wú)論在哪里找到這些功能，消除工具冗余都是一種節(jié)約成本的措施，即使在預(yù)算恢復(fù)正常后，你也可能會(huì)保持這種做法。正如零信任網(wǎng)絡(luò)接入解決方案提供商Appgate Federal的總裁Greg Touhill所說(shuō)，“首席安全官應(yīng)始終注意把握機(jī)會(huì)，目的是更高效和更安全——不管是否有疫情?！?h3>2.重新談判供應(yīng)商合同

分析平臺(tái)Sumo Logic的首席安全官George Gerchow認(rèn)為，對(duì)于自己部門(mén)保留的工具，可以試著通過(guò)“與供應(yīng)商重新接洽，以確保能得到最好的價(jià)格”來(lái)降低成本。他說(shuō)，“現(xiàn)在，每家供應(yīng)商都在竭力保護(hù)他們的客戶(hù)群，因此，單點(diǎn)解決方案將不得不降低價(jià)格才能與套件解決方案相競(jìng)爭(zhēng)”，這意味著套件解決方案可能會(huì)在許可費(fèi)用上打折。

供應(yīng)商ServiceNow的安全運(yùn)營(yíng)總經(jīng)理Jeff Hausman建議，如果可以的話(huà)，安全部門(mén)應(yīng)該從永久授權(quán)模式轉(zhuǎn)向訂閱模式，從而提高預(yù)算的靈活性。

Gerchow說(shuō)：“對(duì)數(shù)據(jù)使用量進(jìn)行收費(fèi)的平臺(tái)將不得不在按數(shù)據(jù)類(lèi)型和搜索頻率收費(fèi)方面有所創(chuàng)新。”

服務(wù)提供商Bionic的首席執(zhí)行官M(fèi)ark Orlando也提出了類(lèi)似的建議：“任何基于數(shù)據(jù)量或者其他可變指標(biāo)的技術(shù)許可，都應(yīng)該進(jìn)行縮減。應(yīng)尋找降低許可成本的方法，可以通過(guò)減少不可操作或者已過(guò)時(shí)的數(shù)據(jù)源來(lái)實(shí)現(xiàn)——至少要整合或者共同確認(rèn)支持合同，以找到技術(shù)重疊，這樣就可以要求減免付款?！?/p>

如果供應(yīng)商不愿意談判，Hausman和Gerchow都建議過(guò)渡到開(kāi)源替代方案。

3.利用技術(shù)降低與人員相關(guān)的成本

在當(dāng)今環(huán)境下，與削減預(yù)算相關(guān)的諸多困難也有其積極的一面。Hausman說(shuō)：“這是一個(gè)很好的時(shí)機(jī)來(lái)實(shí)現(xiàn)某些枯燥的安全操作的自動(dòng)化?！北热缒切┨牟块T(mén)時(shí)間的所有手工工作。如果首席執(zhí)行官愿意花一點(diǎn)小錢(qián)來(lái)省一大筆錢(qián)，那這也許就是你的機(jī)會(huì)，讓你有理由購(gòu)買(mǎi)一直想要的自動(dòng)化工具。Hausman說(shuō)：“任務(wù)自動(dòng)化和流程編排是很容易實(shí)現(xiàn)的?！?/p>

Hausman建議首席信息安全官應(yīng)用80/20規(guī)則，這是一種商業(yè)理論，也被稱(chēng)為帕累托原則（Pareto Principle），即80%的結(jié)果來(lái)自于20%的努力。Hausman建議反思一下：“你的部門(mén)最花時(shí)間的前五項(xiàng)工作是什么？”這些工作是否符合企業(yè)和部門(mén)的目標(biāo)？他解釋說(shuō)：“貨架式工作流程能夠安全地處理某些工作，例如，數(shù)據(jù)收集、優(yōu)先級(jí)排序，以及事件整合和補(bǔ)救措施分配等?！?/p>

這條建議可能對(duì)實(shí)現(xiàn)零信任網(wǎng)絡(luò)尤其有用，Touhill評(píng)論說(shuō)，例如，在軟件定義周界防護(hù)方面的創(chuàng)新不但推進(jìn)了戰(zhàn)略發(fā)展，“同時(shí)幫助削減了運(yùn)營(yíng)成本，因?yàn)檫@樣便能夠淘汰老舊的人力密集型技術(shù)，如虛擬專(zhuān)網(wǎng)（VPN）和網(wǎng)絡(luò)訪(fǎng)問(wèn)控制（NAC）系統(tǒng)”——這是一個(gè)有趣的想法，因?yàn)镻ulse數(shù)據(jù)顯示，VPN可能是36%的網(wǎng)絡(luò)安全部門(mén)今年5月份都要上的“新預(yù)算項(xiàng)目”。

高管們現(xiàn)在可能不想看到有任何類(lèi)型的支出，但如果他們對(duì)創(chuàng)造性思維持開(kāi)放態(tài)度，那么可以嘗試通過(guò)人力資源部門(mén)為空缺的安全職位提供資金支持，說(shuō)服他們采購(gòu)能夠減少部門(mén)工作量的軟件。有些工具可能很昂貴，但要想一想企業(yè)的總成本是大于還是低于新員工的工資加福利？另外，這條建議還可以幫助你樹(shù)立一個(gè)先例——在預(yù)算恢復(fù)后購(gòu)買(mǎi)一直想要的其他技術(shù)。

4.裁員務(wù)必謹(jǐn)慎

你要的是削減預(yù)算，然而意想不到的是，裁員幫你做到了——6月份的失業(yè)數(shù)據(jù)顯示，在疫情期間，有3000多萬(wàn)美國(guó)人失業(yè)。在網(wǎng)絡(luò)安全領(lǐng)域，6月份的Pulse調(diào)查顯示，48%的數(shù)據(jù)安全部門(mén)在4月和5月份“因?yàn)樾鹿诓《径鴾p少了員工人數(shù)”，40%的部門(mén)計(jì)劃在11月之前繼續(xù)裁員。

Bionic公司的Orlando說(shuō)：“失去技術(shù)能力很強(qiáng)的團(tuán)隊(duì)成員將對(duì)部門(mén)士氣產(chǎn)生持久影響，也不利于未來(lái)的招聘工作，因此，對(duì)于希望在危機(jī)過(guò)后保持某種能力不變的安全部門(mén)領(lǐng)導(dǎo)來(lái)說(shuō)，裁員應(yīng)該是萬(wàn)般無(wú)奈的最后選擇?！?/p>

疫情導(dǎo)致的經(jīng)濟(jì)危機(jī)終將會(huì)過(guò)去。當(dāng)員工們急于處理健康問(wèn)題、托兒?jiǎn)栴}，還擔(dān)心下一步可能被解雇的時(shí)候，如果此時(shí)還讓他們加班，這其實(shí)并不能培養(yǎng)員工的忠誠(chéng)度。正如Touhill所指出的，人員、培訓(xùn)和許可費(fèi)用占用了大部分安全預(yù)算?，F(xiàn)在對(duì)你有意見(jiàn)的員工很可能會(huì)在疫情危機(jī)之后辭職，這會(huì)增加接替員工相關(guān)的人員和培訓(xùn)成本。請(qǐng)記住，我們的目標(biāo)是在不損害未來(lái)安全的前提下，現(xiàn)在就想辦法削減預(yù)算。

5.不管怎樣，牢記自己的目標(biāo)

回到Hausman的講話(huà)，安全領(lǐng)導(dǎo)人時(shí)刻牢記自己的目標(biāo)是非常重要的。Orlando說(shuō)，不管什么時(shí)候決定裁員，總的策略是一樣的：“把安全部門(mén)的任務(wù)進(jìn)行細(xì)分，確定你能承受哪些損失，而仍然可以完成工作?！闭f(shuō)到底，把這一指導(dǎo)策略堅(jiān)持下去就會(huì)知道，什么應(yīng)該削減，什么不應(yīng)該削減。

Terena Bell是一名自由撰稿人，他感興趣的主題包括聊天機(jī)器人、自然語(yǔ)言處理和其他人工智能等。

原文網(wǎng)址

https：//www.csoonline.com/article/3566692/5-tips-for-cutting-budgets-in-a-crisis-without-hurting-security.html