CISO必须评估风险并鉴别“真实的”安全预算

日期:2016-12-29作者:Rob McMillan陈勇来源:TechTarget中国

全球信息技术研究和顾问公司Gartner近期发布的IT关键指标数据显示,各企业机构在IT安全与风险管理方面的支出平均占到IT总预算的5.6%。但分析师指出,IT安全支出占IT预算的比例介于约1%至13%之间,并可能在衡量项目成功与否时充当了一种误导性指标。

客户往往希望知道自己在信息安全方面的支出是否与其所在行业、地区内的其他公司以及同等规模的公司不相下上,以此评估是否应对安全性及相关项目实施尽职调查。

然而,有关行业平均值的笼统对比并不会对您的具体安全状态有多大帮助。您的支出可能与同行处于同一水平,但您的投资方向可能有误,因而存在极大隐患。又或者,您的支出可能使用得当,但风险偏好仍与您的同行有所不同。

Gartner认为,2020年之前,大部分企业机构将继续误将IT安全支出的均值作为评估安全态势的一种指标。

在不了解业务要求、风险容忍度以及满意率水平的情况下,IT安全支出占IT预算比例的这一指标自身并不能为适当分配IT或业务资源提供有效的对比信息。此外,单单IT支出统计数据一项无法衡量IT效率,而且也不能成为衡量成功IT企业机构的一种标准。它们只能提供关于平均费用的指导性意见,而不涉及复杂性或具体需求。

鉴别“真实的”安全预算

详尽的安全支出通常按硬件、软件、服务(外包与咨询)和人员各项进行细分。但是,由于未能充分反映企业在IT安全领域投资的真正规模,因此关于详细安全支出的任何统计数据本质上都“缺乏力度”,这是因为安全特性均被融入硬件、软件、活动或项目之中,并非直指安全性。

Gartner根据经验判断,许多企业机构完全不了解自身的安全预算。部分原因在于极少有成本核算系统将安全细分为单独的核算项目,许多与安全相关的流程都不是由安全专管人员所完成,因此无法准确地按照人员数量进行统计。大多数情况下,首席信息安全官(CISO)无法深入了解整个企业的安全支出情况。

为了确定真实的安全预算,您应关注多个方面,例如:具备嵌入式安全功能的网络设备、可能纳入终端用户支持预算的桌面保护、企业应用、外包或托管的安全服务、业务连续性或隐私计划以及可能由人力资源部提供资金支持的安全培训等。

Gartner研究结果显示,在安全状况良好的企业机构内,其安全支出占IT预算的比例有时低于平均值。20%支出最低的企业包括以下两大截然不同的类型:

  1. 因支出不足而无法获得安全保障的企业;
  2. 已实施最佳IT运营与安全实践以降低IT基础架构总体复杂度并尽力减少安全漏洞的安全型企业。

Gartner认为各企业应将4%至7%的IT预算投入IT安全领域:若拥有成熟的系统,则在该区间内降低预算;若完全开放且面临风险,则在该区间内提高预算水平。这些是指由首席信息安全官掌管和负责的预算,而非“真实”或总体预算。

为了切实重视信息安全,各企业机构必须首先评估其面临的风险,并且清醒地认识到在名目繁多的帐目内首席信息安全官的安全预算和“真实的”安全预算都有可能未将所有安全支出包含在内。

而那些真正了解企业机构内部所有的安全功能(包括必要但却丢失的功能),以及如何资助这些功能的首席信息安全官将极有可能利用间接投资的功能赢取更大优势。

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Rob McMillan
Rob McMillan

Gartner研究总监

陈勇
陈勇

Gartner CIO研究总监

企业内容管理>更多

相关推荐

技术手册>更多

  • 预测分析与数据挖掘集锦

    数据挖掘、预测分析以及相关业务建模技术几乎完全是由高技能高工资的统计学家、数学家和定量分析师所使用。但随着商务智能和分析厂商提供更方便用户使用的预测分析工具,这一情况正在发生变化。

  • SQL Server 2005/2008数据建模开发者指南

    本篇文章主要介绍SQL Server数据存储的物理对象和原理,包括SQL Server 2005和2008里的物理数据存储、SQL Server 2008数据类型(即Datetime、字符串、自定义及等)、在SQL Server数据库中加强数据的完整性……

  • NoSQL数据库选型指南

    随着大数据时代的到来,越来越多的组织需要处理大量的网站流量、大数据和社交媒体数据等,人们对NoSQL的需求越来越旺盛,NoSQL数据库产品也越来越多。

  • Oracle商务智能手册

    Oracle BI部署、Oracle OBIEE仪表盘技术、Oracle BI项目实施案例、Oracle Hyperion、Oracle Exalytics。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 数据库
  • 网络
  • 云计算