信息安全領域長期以來一直面臨“人手不足”和“資金短缺”的困境,而這種情況的存在遠早于COVID-19。在當前經濟進入低迷時期,這種壓力越來越大,研究公司Pulse于6月4日發布的一份報告中指出,23%的安全預算目前正處于凍結狀態,并且整體預算削減了49%。
因此,當首席執行官要求您削減本就資源不足的預算時,首席信息安全官(CISO)應該從何入手呢?更具體地說,是否存在一種方法可以使這些削減措施在經濟衰退結束后也同樣具有存在的意義?以下是安全顧問、供應商和CISO們總結的5大參考意見:
1.識別重疊技術
在人員、流程和技術的“金三角”中,首先需要考慮的就是技術——即公司已經擁有的軟件。CyxteraFederalGroup總裁兼首席信息安全官LeoTaddeo表示:
“尋找那些已經將創新轉化成效率的領域。由于許多技術供應商都在不斷添加新功能,因此在初次啟動時可能尚不存在重疊之處。以您當前的端點保護套件為例,它還可能提供重要的防病毒保護功能,如果首席安全官對這兩者都進行了投資,那么這就是節省成本的領域。”
此外,還可以與其他部門合作,看看他們都在使用什么技術。識別“影子IT”一直是一件非常困難的事情,因此必須從已知的系統入手,尤其是那些使用更為廣泛的系統。Taddeo表示,現有平臺(例如Windows10)中也可能存在一些功能,這些功能使首席信息安全官只需打開安全功能即可減輕風險。
無論你從哪里找出這些軟件,消除工具冗余都是一種節省成本的有效措施,即使預算恢復正常后,您可能也希望繼續保留這項措施。正如零信任網絡訪問解決方案提供商AppgateFederal總裁GregTouhill所說:
“首席安全官們應該一直在尋找更有效、更便捷和更安全的機會,不管是否爆發此次疫情。”
2.重新協商供應商合同
SumoLogic公司首席安全官GeorgeGerchow表示,對于部門最終決定保留的工具,可以嘗試通過“與供應商重新接觸來盡可能獲取最佳價格”以實現削減成本的目標。他說:
“目前,每個供應商都在拼命維護自己的客戶群。因此,點解決方案必須降低價格才能與套件解決方案競爭。這也就意味著套件解決方案可能會給出一個許可證折扣。”
供應商ServiceNow的安全運營總經理JeffHausman建議,如果可能的話,團隊應該從永久許可轉向訂閱模式,以實現預算靈活性。
Gerchow表示:
“按數據使用量收費的平臺必須在按數據類型和搜索頻率收費方面做做文章。”
服務提供商Bionic的首席執行官MarkOrlando也提出了類似的建議:
“縮減基于數據量或其他可變指標的任何技術許可。尋找方法,通過減少無法采取行動或變得過時的數據饋送,來減少許可費用,或者至少合并并共同確定這些支持合同以發現重疊,并獲得暫時的付款減免。”
如果供應商不愿談判,則Hausman和Gerchow都建議過渡到開源替代方案。
3.使用技術降低與人相關的成本
在當前環境中,削減預算確實存在諸多困難,但可能也存在一個積極的影響——這正是促使安全操作自動化的好時機。不可否認,所有的體力勞動耗費了安全團隊的大量時間,如果您的CEO愿意花一點錢來節省更多錢,那么是時候做出改變了,購買那些您一直想要的自動化工具吧。
Hausman建議首席信息安全官應用80/20規則,這是一種商業理論,也稱為“帕累托原則”(ParetoPrinciple),該原則指出80%的結果僅來自20%的努力。Hausman解釋稱,
“您的團隊打發時間的前五種方式是什么?這些活動是否符合公司和部門的目標?現成的工作流程可以安全地處理特定領域,例如數據收集,優先級劃分,事件合并和補救分配。”
Touhill表示,這種方法對實現零信任可能特別有幫助,例如,軟件定義的邊界領域的新創新提高了策略在“降低成本的同時,幫助您淘汰老年人等人力密集型技術,例如虛擬專用網絡和網絡訪問控制(NAC)系統”。據Pulse調查數據顯示,虛擬專用網絡是5月36%的網絡安全團隊最常使用的“新預算項目”時,這真是一個有趣的現象。
高層管理人員現在可能不想看到任何類型的支出,但是如果老板愿意接受創新思維,請嘗試利用人力資源成本購買旨在減少部門工作量的軟件,從而實現收益最大化。有些工具可能很昂貴,但是比招聘一名新員工所需的薪水和福利又如何?此外,這種方法還可以幫助您在預算恢復時為購買其他愿望清單技術樹立先例。
4.謹慎裁員
如果您想要削減預算,那么不幸的是裁員可以做到,6月份的失業數據顯示,新冠疫情期間,有超過3000萬美國人失業。在網絡安全方面,Pulse公司于6月份公布的調查數據顯示,在4月或5月期間,有48%的數據安全團隊“因COVID-19而削減了人員”,而40%的數據安全團隊計劃讓人們在11月之前離開。
Bionic公司的Orlando表示:
“失去熟練的團隊成員將對團隊的士氣產生持久性影響,并阻礙未來的招募工作。因此,對于那些希望在危機過后繼續保持某種能力的安全高管來說,裁員應該是迫不得已的最后選擇。”
未來的某一天,COVID-19帶來的經濟危機終將結束。讓員工在處理健康問題、育兒問題以及接下來可能會被解雇的擔憂中加班工作,并不能提高員工的忠誠度。正如Touhill所指出的那樣,人員、培訓和許可成本構成了大多數安全預算的絕大部分。現在變得討厭您的員工很可能會在COVID-19之后辭職,從而增加了替換員工的人員和培訓成本。所以請記住,我們的目標是找到在不損害未來安全性的前提下削減預算的方法。
5.不管怎樣,請牢記你的目標
對于安全領導者來說,始終保持目標集中很重要。Orlando表示,無論是確定今天還是未來任何時候裁員時,總體策略是相同的:“將安全團隊章程分解到一個分子水平,決定您可以承受的損失并完成工作。”歸根結底,堅持這種單一指導策略將告訴您應該削減和不應削減的內容。
