长期以来,信息安全一直以人手不足和资金不足而著称。COVID-19疫情爆发以来,当前经济进入低迷时期,压力变得更大。6月4日,研究公司Pulse报告显示,目前冻结了23%的安全预算,减少了49%。
因此,当CEO要求您削减已经资源不足的预算时,CISO应该从哪里开始呢?更具体地说,是否有一种方法可以使这些削减在经济衰退结束后不会消失?以下五个技巧,供CSO、安全顾问、供应商和CISO参考:
1.识别技术重叠
在人员、流程和技术的金三角中,首先要研究技术,即公司已经拥有的软件。
Cyxtera Federal Group总裁兼CISO Leo Taddeo说:“寻找创新可以提高效率的领域。”由于许多技术供应商都在不断添加新功能,因此在入门时可能尚不存在重叠。
Taddeo表示,以您当前的端点保护套件为例,它还可能提供重要的防病毒保护,并补充说:“如果CSO为这两者都产生成本,那么这就是节省成本的领域。”
与其他部门合作,看看他们使用什么技术。识别影子IT一直很困难,因此从已知的系统开始,尤其是使用更广泛的系统。Taddeo说:“现有平台(例如Windows 10)中也可能存在一些功能,这些功能使CISO只需打开安全功能即可减轻风险。”
无论您在哪里找到,消除工具冗余都是一种节省成本的措施,即使预算恢复正常后,您也可能希望保留这种冗余。正如零信任网络访问解决方案提供商Appgate Federal总裁Greg Touhill所说:“公民社会组织应该一直在寻找更有效和更安全的机会,不管是否发生疫情。”
2.重新协商供应商合同
Sumo Logic公司CSO乔治·格肖夫(George Gerchow)表示,对于部门保留的工具,请尝试通过“与供应商重新接触以确保获得合理价格”来消除成本。他说:“目前,每个供应商都在拼命保护自己的客户群。因此,点解决方案必须降低价格才能与套件解决方案竞争。”这意味着套件解决方案可能会给许可证打折。
供应商ServiceNow的安全运营总经理Jeff Hausman建议,如果可能的话,团队应从一直许可转向订阅模式,以提供预算灵活性。
Gerchow说:“按数据使用量收费的平台必须在按数据类型和搜索频率收费方面具有创意。”
服务提供商Bionic的CEO Mark Orlando提供了类似的建议:“缩减基于数据量或其他可变指标的任何技术许可。寻找方法,通过减少无法采取行动或变得过时的数据馈送,来减少许可费用,或者至少合并并共同确定这些支持合同以发现重叠,并获得暂时的付款减免。”
如果供应商不愿谈判,则Hausman和Gerchow都建议过渡到开源替代方案。
3.使用技术降低与人相关的成本
在当今的环境中,与削减预算相关的许多困难中,可能会有一个积极的方面。 Hausman说:“这是使安全操作自动化的好时机。”所有花费您团队大量时间的体力劳动?好吧,如果您的CEO愿意花一点钱以节省很多钱,那么这可能就是您的改变,让您有理由购买一直想要的自动化工具。
假如在实现任务自动化和流程编排方面进展不大,Hausman建议CISO应用80/20规则,这是一种商业理论,也称为帕累托原则,其中指出80%的结果仅来自20%的努力。
“您的团队度过时光的前五种方式是什么?这些活动是否符合公司和部门的目标?”Hausman解释说:“现成的工作流程可以安全地处理特定领域,例如数据收集,优先级划分,事件合并和补救分配。”
Touhill表示,该技巧对实现零信任可能特别有用。例如:软件定义的边界领域的新创新可以在“降低成本的同时推动战略发展,同时帮助您淘汰老年人等人力密集型技术,例如虚拟技术、专用网络和网络访问控制(NAC)系统”。据Pulse调查数据显示,虚拟专用网络是5月36%的网络安全团队最常使用的“新预算项目”时,一个有趣的想法。
高层管理人员现在可能不想看到任何类型的支出,但是如果老板愿意接受创新思维,请尝试通过为减少部门工作量的软件辩护,从而利用人力资源来资助任何开放的安全职位。有些工具可能很昂贵,但是公司的总成本是比薪水加上新员工的福利多还是少?另外,本技巧还可以帮助您在预算恢复时为购买其他愿望清单技术树立先例。
4.裁员要谨慎
如果您想削减预算,那么不幸的是裁员可以做到。6月份的失业数据显示,有超过3000万美国人失业。在网络安全方面,6月Pulse调查显示,在4月或5月期间,有48%的数据安全团队“因COVID-19而减少了人员”,而40%的计划让人们在11月之前离开。
Bionic的Orlando说:“失去熟练的团队成员,将持久影响团队的士气,并阻碍未来的招募工作。因此,对于希望在危机过去后保持某种能力的安全高管,裁员应该是遥不可及的最后选择。”
某一天,COVID-19带来的经济危机将结束。让员工在处理健康问题、育儿问题,以及接下来可能会被解雇的担忧中加班工作,并不能提高员工的忠诚度。正如Touhill所指出的那样,人员、培训和许可成本构成了大多数安全预算的大部分。现在讨厌您的员工,很可能会在COVID-19之后辞职,从而增加了替换员工的人员和培训成本。请记住,目标是找到在不损害未来安全性的前提下立即削减预算的方法。
5.不管怎样,请牢记你的目标
回到Hausman的讲话,对于安全高管来说,始终保持目标集中很重要。在确定裁员时,Orlando表示总体策略是相同的:“将安全团队章程分解到一个分子水平,决定您可以承受的损失并完成工作。” 归根结底,坚持该单一指导策略将告诉您应该削减和不应削减的内容。
原文5 tips for cutting budgets in a crisis without hurting security
作者:Terena Bell
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】