信息安全领域长期以来一直面临“人手不足”和“资金短缺”的困境,而这种情况的存在远早于COVID-19。在当前经济进入低迷时期,这种压力越来越大,研究公司Pulse于6月4日发布的一份报告中指出,23%的安全预算目前正处于冻结状态,并且整体预算削减了49%。
因此,当首席执行官要求您削减本就资源不足的预算时,首席信息安全官(CISO)应该从何入手呢?更具体地说,是否存在一种方法可以使这些削减措施在经济衰退结束后也同样具有存在的意义?以下是安全顾问、供应商和CISO们总结的5大参考意见:
1.识别重叠技术
在人员、流程和技术的“金三角”中,首先需要考虑的就是技术——即公司已经拥有的软件。CyxteraFederalGroup总裁兼首席信息安全官LeoTaddeo表示:
“寻找那些已经将创新转化成效率的领域。由于许多技术供应商都在不断添加新功能,因此在初次启动时可能尚不存在重叠之处。以您当前的端点保护套件为例,它还可能提供重要的防病毒保护功能,如果首席安全官对这两者都进行了投资,那么这就是节省成本的领域。”
此外,还可以与其他部门合作,看看他们都在使用什么技术。识别“影子IT”一直是一件非常困难的事情,因此必须从已知的系统入手,尤其是那些使用更为广泛的系统。Taddeo表示,现有平台(例如Windows10)中也可能存在一些功能,这些功能使首席信息安全官只需打开安全功能即可减轻风险。
无论你从哪里找出这些软件,消除工具冗余都是一种节省成本的有效措施,即使预算恢复正常后,您可能也希望继续保留这项措施。正如零信任网络访问解决方案提供商AppgateFederal总裁GregTouhill所说:
“首席安全官们应该一直在寻找更有效、更便捷和更安全的机会,不管是否爆发此次疫情。”
2.重新协商供应商合同
SumoLogic公司首席安全官GeorgeGerchow表示,对于部门最终决定保留的工具,可以尝试通过“与供应商重新接触来尽可能获取最佳价格”以实现削减成本的目标。他说:
“目前,每个供应商都在拼命维护自己的客户群。因此,点解决方案必须降低价格才能与套件解决方案竞争。这也就意味着套件解决方案可能会给出一个许可证折扣。”
供应商ServiceNow的安全运营总经理JeffHausman建议,如果可能的话,团队应该从永久许可转向订阅模式,以实现预算灵活性。
Gerchow表示:
“按数据使用量收费的平台必须在按数据类型和搜索频率收费方面做做文章。”
服务提供商Bionic的首席执行官MarkOrlando也提出了类似的建议:
“缩减基于数据量或其他可变指标的任何技术许可。寻找方法,通过减少无法采取行动或变得过时的数据馈送,来减少许可费用,或者至少合并并共同确定这些支持合同以发现重叠,并获得暂时的付款减免。”
如果供应商不愿谈判,则Hausman和Gerchow都建议过渡到开源替代方案。
3.使用技术降低与人相关的成本
在当前环境中,削减预算确实存在诸多困难,但可能也存在一个积极的影响——这正是促使安全操作自动化的好时机。不可否认,所有的体力劳动耗费了安全团队的大量时间,如果您的CEO愿意花一点钱来节省更多钱,那么是时候做出改变了,购买那些您一直想要的自动化工具吧。
Hausman建议首席信息安全官应用80/20规则,这是一种商业理论,也称为“帕累托原则”(ParetoPrinciple),该原则指出80%的结果仅来自20%的努力。Hausman解释称,
“您的团队打发时间的前五种方式是什么?这些活动是否符合公司和部门的目标?现成的工作流程可以安全地处理特定领域,例如数据收集,优先级划分,事件合并和补救分配。”
Touhill表示,这种方法对实现零信任可能特别有帮助,例如,软件定义的边界领域的新创新提高了策略在“降低成本的同时,帮助您淘汰老年人等人力密集型技术,例如虚拟专用网络和网络访问控制(NAC)系统”。据Pulse调查数据显示,虚拟专用网络是5月36%的网络安全团队最常使用的“新预算项目”时,这真是一个有趣的现象。
高层管理人员现在可能不想看到任何类型的支出,但是如果老板愿意接受创新思维,请尝试利用人力资源成本购买旨在减少部门工作量的软件,从而实现收益最大化。有些工具可能很昂贵,但是比招聘一名新员工所需的薪水和福利又如何?此外,这种方法还可以帮助您在预算恢复时为购买其他愿望清单技术树立先例。
4.谨慎裁员
如果您想要削减预算,那么不幸的是裁员可以做到,6月份的失业数据显示,新冠疫情期间,有超过3000万美国人失业。在网络安全方面,Pulse公司于6月份公布的调查数据显示,在4月或5月期间,有48%的数据安全团队“因COVID-19而削减了人员”,而40%的数据安全团队计划让人们在11月之前离开。
Bionic公司的Orlando表示:
“失去熟练的团队成员将对团队的士气产生持久性影响,并阻碍未来的招募工作。因此,对于那些希望在危机过后继续保持某种能力的安全高管来说,裁员应该是迫不得已的最后选择。”
未来的某一天,COVID-19带来的经济危机终将结束。让员工在处理健康问题、育儿问题以及接下来可能会被解雇的担忧中加班工作,并不能提高员工的忠诚度。正如Touhill所指出的那样,人员、培训和许可成本构成了大多数安全预算的绝大部分。现在变得讨厌您的员工很可能会在COVID-19之后辞职,从而增加了替换员工的人员和培训成本。所以请记住,我们的目标是找到在不损害未来安全性的前提下削减预算的方法。
5.不管怎样,请牢记你的目标
对于安全领导者来说,始终保持目标集中很重要。Orlando表示,无论是确定今天还是未来任何时候裁员时,总体策略是相同的:“将安全团队章程分解到一个分子水平,决定您可以承受的损失并完成工作。”归根结底,坚持这种单一指导策略将告诉您应该削减和不应削减的内容。
