在咱們中國，有句話叫：年到頭月到尾。是這個年周期總結的月份，也是一個下一個年周期開始謀劃的月份。那么，在網絡安全領域，如何把握明年的決策呢？在IBM的網站上有這么一篇文章，可以參考。雖然各個國家都有自己的實際情況，不過有些方法論是放之四海而皆準的，我們通過拿來主義一起看看2025如何明智的考慮網絡安全支出。

十二月一年之末，也是一歲將始。但對于企業領導者來說，本月最重要的數字是 2025 年的預算數字。由于網絡安全是 2025 年許多企業的首要關注點，因此它很可能成為新年許多預算中的頭條項目。

Gartner 預計，到 2025 年，網絡安全支出預計將增長 15%，從 1,839 億美元增至 2,120 億美元。安全服務是支出增長最快的領域，安全軟件位居第二，網絡安全是第三大增長領域。

Gartner 高級研究主管 Shailendra Upadhyay 在最近的新聞稿中表示：“持續加劇的威脅環境、云遷移和人才短缺將安全推到了優先事項的首位，并迫使首席信息安全官 (CISO) 增加其組織的安全支出。” “此外，組織目前正在評估其端點保護平臺 (EPP) 和端點檢測和響應 (EDR)需求，并在 CrowdStrike 中斷后 進行調整以提高其運營彈性和事件響應。”

導致支出增加的因素

盡管支出決策和增長可能出于多種不同的原因，但 Gartner 指出了預測增長的兩個主要原因。

• 生成式人工智能： Garter 表示，由于組織使用生成式人工智能，他們將需要采取額外措施來保護其環境。IBM生成式人工智能安全框架列出了五個步驟：保護數據、保護模型、保護使用、保護人工智能模型基礎設施和建立健全的人工智能治理。由于生成式人工智能的使用增加，許多組織將需要購買額外的軟件，例如應用程序安全、數據安全以及隱私和基礎設施保護。
• 全球技能短缺：許多組織都面臨技能短缺的問題，他們沒有內部人才來管理他們的網絡安全需求。作為一種解決方案，許多組織正在聘請幫助來降低風險，例如安全咨詢服務、安全專業服務和托管安全服務。Gartner 指出，這些服務的成本是預計支出較高的一個驅動因素，使服務成為網絡安全的一個高增長領域。

創建網絡安全預算

準確的預算編制不應只是簡單地在組織的預算中列出包含網絡安全的單獨項目，而應從列出有效網絡安全計劃的所有組成部分開始。

在預算中考慮以下因素：

• 勞動力成本：除了所有全職員工的工資外，還要考慮您需要購買的任何額外服務。例如，外包滲透測試就屬于這一類。此外，考慮您是否需要為網絡安全的任何部分聘請托管服務。
• 技術：考慮所需的所有類型的軟件，包括防病毒軟件、加密工具和防火墻。考慮您是否將使用生成式人工智能來保障網絡安全，以及保護組織免受用于日常業務任務的生成式人工智能工具攻擊所需的其他工具。一定要包括硬件成本，例如運行任何新技術工具（尤其是生成式人工智能）所需的任何基礎設施升級。
• 培訓：許多組織只考慮為網絡安全員工提供培訓和認證的預算。但是，一定要為整個組織分配網絡安全培訓資金。通過跳出固有思維模式并留出足夠的資金，您可以大大減少因員工失誤而導致的網絡攻擊。
• 事件響應：發生違規或攻擊后，組織需要資金來控制違規并管理響應。經常發生的成本包括法律費用、公關公司費用、加班費、數據泄露通知、身份盜竊保護和收入損失。

預算可能會影響員工壓力

雖然許多組織在制定網絡安全預算時會考慮業務中斷和潛在風險，但許多組織忽視了預算對網絡安全團隊的影響。

ISACA 2024年及以后網絡安全狀況調查發現，66% 的網絡安全專業人員表示他們的角色壓力更大。毫不奇怪，首要原因 (81%) 是威脅形勢日益復雜。然而，預算太低 (45%) 與招聘留任挑戰加劇和員工缺乏技能/培訓并列第二。

報告發現，超過一半（51%）的人認為他們的預算資金不足，高于 2023 年持這種觀點的 47%。此外，只有 37% 的人預計他們的預算將在 2025 年增加。更令人緊張的是，只有 40% 的人高度相信他們的團隊已做好應對網絡攻擊的準備。與此同時，47% 的人預計他們的組織會遭受網絡攻擊。

制定 2025 年預算的同時減輕員工壓力

當企業領導者制定預算時，這里有一些方法可以減輕與 2025 年預算相關的員工壓力。

• 讓親力親為的網絡安全團隊成員參與預算討論。當員工感到他們的觀點和想法被聽取時，他們不太可能產生怨恨。此外，他們可以親眼看到預算中的權衡以及每個決策對其他項目的影響。 
• 讓員工分享他們目前面臨的挑戰。通過了解他們的問題，您可以利用這些問題來推動預算決策。如果團隊成員跳到技術解決方案，請引導他們首先討論問題。
• 讓您的網絡安全團隊進行研究并獲取估算。一旦您進入預算的解決方案部分，請網絡安全團隊成員研究工具并獲取估算。由于他們將是日常使用這些工具的人，因此讓他們認同特定的解決方案可以幫助提高滿意度并提高預算的準確性。
• 向團隊成員展示預算草案。預算編制通常意味著做出艱難的決定。通過向團隊展示預算草案并征求他們的意見，他們感覺自己被傾聽，也能看到預算編制過程中必要的權衡。

雖然網絡安全支出的增加總體上是一個積極的趨勢，但最重要的是公司如何使用這些增加的投資。通過為您的特定組織做出正確的選擇，您可以降低風險，同時提高員工滿意度。