根据最新研究,用于支持技术升级、安全培训和业务举措的安全预算不足,会对企业造成不成比例的影响,使企业更易受到攻击。
由Splunk委托的一项针对欧洲、美国、澳大利亚和日本600名CISO的调查发现,董事会和安全领导者之间存在语言和优先级上的差距。CISO们面临着控制支出和外包职能的压力,同时还需要证明安全举措的业务价值。
这家思科旗下的安全可视化公司进行的调查发现,在某些领域削减开支——如员工培训和技术升级延期——比其他领域更容易导致重大安全事件。
这些来自同行调查的见解可以帮助CISO们在反对董事会提出的预算削减时,构建更有说服力的风险导向型论点——或者在最坏的情况下,当面临预算限制时,为自己的投资决策提供依据。
技术升级延期
随着网络威胁以前所未有的速度演变,推迟必要的技术升级会对企业造成严重影响。最新的技术更新旨在增强企业的安全功能,并直接应对最近发现的挑战。
“旧系统缺乏允许更先进功能的新特性和功能,比如迁移到云端,”Splunk发言人Kirsty Paine告诉记者,“没有更新的安全功能,将信息迁移到云端可能会留下漏洞。”
推迟技术升级还会使企业依赖过时的传统系统,从而增加安全债务。
CISO们报告称,推迟升级是最常见的成本削减措施,结果有62%的时间会导致数据泄露。
安全培训缩减
当预算被削减时,许多企业会感受到缩减或完全取消培训项目的压力,导致员工无法识别潜在威胁。
这通常成为一个问题,因为人为错误——如软件或基础架构配置错误——经常导致停机时间和业务收入损失。此外,削减安全意识培训会导致整个企业形成松散的安全文化。
“安全培训对于减少人为错误、让员工识别钓鱼攻击至关重要,因此通过取消培训,企业更容易遭受攻击,”Splunk的Paine说。
超过三分之一(36%)的CISO表示由于预算限制而削减了培训,其中45%因此遭遇了成功攻击。
不支持业务举措
安全团队往往没有获得足够的人员、时间或其他资源来支持公司的发展或增长,导致安全能力与它们本应保护的业务举措之间存在不匹配。
这通常发生在为了迅速推进而采取的数字化举措中,例如最近争相采用AI,这导致许多企业跳过传统的安全加固措施,转而追求快速胜利和广泛实验。
“业务举措可能是新产品或功能,或是不同的工作方式(如居家办公),”Splunk的Paine解释说,“无论举措是什么,如果没有安全支持,这些举措通常是在没有考虑安全的情况下设计的。”
Paine补充道:“众所周知,‘事后添加安全’的方法比‘设计时考虑安全’的方法更糟糕。”
根据调查,只有少数CISO(18%)获得的资金支持不足以支持业务举措,但其中近三分之二(64%)因此遭遇了数据泄露。
沟通脱节
Splunk的研究报告《CISO报告》揭示了CISO和董事会之间在安全资金方面的脱节,41%的董事会认为他们的安全预算足够,而只有29%的CISO持相同看法。
“这种差异通常源于董事会将安全预算视为战术问题,而没有考虑其对业务的更广泛影响,”Paine说,“为了改变这种观点,CISO们必须用业务成果来解释他们工作的价值,比如他们正在保护的收入和品牌声誉。”
董事会保护盈利能力,而CISO专注于保护数据和系统。为了弥合这一差距,董事会成员和CISO需要确定对各自利益相关者而言近乎同等重要的领域,Splunk建议。
“例如,CISO们不应该专注于平均修复时间(MTTR),而应该优先考虑降低风险,并向董事会传达降低导致更高投资回报率的风险的重要性,这是他们更熟悉的术语,”Paine总结道。
了解如何说服董事会批准安全资金是CISO们必须掌握的一项技能。同样重要的是确保双方对期望相互尊重,从而在董事会和CISO之间建立双向沟通渠道。
证明安全支出的合理性
记者采访的独立专家同意报告得出的结论,即适当的资金对于网络安全至关重要。面临缩减安全支出或培训压力的首席安全官需要据理力争,用业务(而非技术)术语来证明安全支出承诺的合理性。
Trend Micro英国网络安全总监Jonathan Lee表示,企业仍然经常将安全支出视为可以削减以追求利润的成本,而不是支持增长的投资。
“企业对威胁的攻击做出反应是不可接受的,”Lee认为,“只有大约三分之一的企业有具备网络安全知识的董事会成员,是时候消除高层普遍存在的乐观偏见,用显著减少导致首次被攻击的漏洞的安全措施来从战略上支撑企业的目标。”
漏洞众包平台Bugcrowd美洲区的CISO Trey Ford承认,严峻的经济形势意味着预算紧张,但认为削减安全支出来支持之前已同意的项目将是危险的。
“预算削减影响安全规划、战略和运营的各个方面——这些都是与风险委员会保持一致,在整个企业中精心策划的复杂体系,”Ford告诉记者。
对于运营安全团队来说,人员编制冻结不仅仅是令人沮丧,它会加速警报疲劳、值班轮换和倦怠。工具和项目的资金流失可能会加剧可见性差距——限制日志覆盖范围、监控和警报,或系统和应用程序中漏洞的测试和跟踪。
“失去资金的安全举措很少属于‘可有可无’的类别——它们几乎总是与风险委员会优先处理的风险项目和控制差距有关,”Ford说,“正在处理的风险和被取消资金的项目将需要重新接受风险评估,并可能需要向董事会的风险委员会报告。”
就风险达成共识并沟通
应用安全测试供应商Immuniweb的CEO Ilia Kolochenko认为,安全领导者需要制定连贯的网络安全战略。
“许多企业倾向于拥有来自不同供应商的重叠且因此冗余的解决方案,同时分配很少或没有时间来妥善处理安全警报和事件响应,”Kolochenko说。
“更糟糕的是,只有令人担忧的一小部分企业拥有定义明确、长期导向和全面的网络安全战略,该战略将涵盖第三方风险管理、配置错误、多云环境中身份和访问管理(IAM)的漏洞、容器安全或新兴的AI风险等关键领域,包括软件工程师过度依赖AI机器人生成的合成代码,而这些代码经常包含漏洞甚至后门程序,”Kolochenko说。
CISO和董事会需要协调他们的优先级,并就一种沟通方式达成一致,通过这种方式可以不断理解、阐述和缓解网络风险。
“这将有助于确保决策和投资是在充分了解的基础上做出的,”Lee说,“这应该能够使预算花在正确的领域,从而确保遵守法规要求,并使服务持续运行。”
身份安全供应商One Identity的现场战略师Alan Radford认为,培训、系统更新、灾难恢复规划、事件响应和合规性监控等基础要素对于保持强大的安全态势至关重要。
“业务驱动型网络安全并非购买最昂贵的工具,而是将技术、流程和人员结合起来,以有效降低风险,”Radford告诉记者,“安全领导者必须向董事会传达,风险降低不仅仅关乎工具,还关乎运营韧性。投资于人员、培训和运营准备工作的回报高于任何单项技术采购。”
