所以,当CEO开始要求你削减资源不足的预算时,CISO应该从哪里开始着手呢?更具体地说,有没有一种方法可以使这些削减措施在经济衰退结束后不会成为永久性的措施?CSO联系了顾问、供应商和销售主管,获取了他们的优秀建议:
1. 识别重叠技术
在人、流程和技术的金三角中,首先要从技术看起,也就是公司已经拥有的软件。Cyxtera Federal Group的CISO及总裁Leo Taddeo表示,可以首先去寻找那些能够通过创新来提高效率的领域。由于许多技术供应商不断地添加新功能,现在可能会出现刚上线时所没有的重叠。以你当前的端点保护套件为例;Taddeo指出,它可能还提供了重要的防病毒保护。如果一个CSO在这两方面都产生了成本,那么这就是一个可以节省成本的领域了。
与其他部门合作,了解他们所使用的技术。识别阴影IT一直以来都是一件很困难的事情,所以必须从已知的系统开始,特别是那些应用广泛的系统。Taddeo说表示,在现有的平台上,比如Windows10,也可能会有一些功能,允许CISO通过简单地打开一个安全功能就能够降低风险。
无论你在哪里找到冗余工具,消除工具的冗余都是一项能够节省成本的措施,即使是在预算恢复正常后,你也可能希望保留这项措施。正如零信任网络接入解决方案提供商Appgate Federal的总裁Greg Touhill指出的,CSO应该始终去寻找能够提高效率和安全性的机会,不管是否存在冠状病毒大流行。
2. 重新谈判供应商合同
分析平台Sumo Logic的首席技术官George Gerchow说,对于部门需要保留的工具,可以尝试通过“重新与供应商接触,确保得到一个尽可能好的价格”的方式来消除成本。现在,每个供应商都在拼命地保护他们的客户群,因此端点解决方案将不得不降低价格以便与套件解决方案竞争,这意味着套件解决方案也可能会给予许可证折扣。
供应商ServiceNow的安全运营总经理Jeff Hausman则建议团队在可能的情况下,可以从永久授权模式转向订阅模式,以提供预算的灵活性。
Gerchow 指出,对数据使用进行收费的平台将不得不在按数据类型和搜索频率收费方面有所创新。
服务提供商Bionic的首席执行官Mark Orlando也提供了类似的建议,任何基于数据量或其他可变指标的技术许可,都需要缩小规模。可以通过削减那些不可行或已经过时了的数据传输来寻找降低授权成本的方法,或者是整合或合并那些支持合同,找到重叠部分,以获得暂时的支付减免。
如果供应商不愿意协商,Hausman和Gerchow都建议可以转向开源的替代方案。
3. 利用技术来降低与人相关的成本
在当今环境下不得不削减预算的诸多困难中,有一个可能是积极的。Hausman表示,这是一个很好的自动化安全操作中所有的枯燥工作的时间。包括所有那些占用团队太多时间的手工工作?好吧,如果你的首席执行官愿意花一点钱来节省更多的钱,这也许就是你的契机,让你能够有理由购买你一直想要的自动化工具。Hausma指出,任务自动化和流程编排都是容易实现的。
Hausman建议CISO应用80/20规则,这是一种商业理论,也被称为Pareto原则,它指出了80%的结果来自于20%的努力。Hausman建议,你可以这样问自己:“你的团队花时间最多的五种方式是什么?”这些活动是否符合公司和部门的目标?“现成的工作流已经可以安全地处理一些特定领域了,如数据收集、优先级确定、还有事件合并和补救分配。”他解释说。
该技巧对实现零信任来说可能特别有用,例如,Touhill表示,软件定义的边界领域的新创新可以在“降低战略成本的同时帮助降低运营成本,因为它们使你能够退休老年人,淘汰人力密集型技术,如虚拟专用网和网络访问控制(NAC)系统”--当Pulse的数据显示虚拟专用网是5月份36%的网络安全团队最常使用的“新预算项目”时,这的确是一个有趣的想法。
任何类型的支出可能都不是首席执行官们现在想要看到的,但如果老板们对创造性思维持开放态度,那么就试着利用人力资源来为任何空缺的安全职位提供资金,例如,为能够减少部门工作的软件提供支持。有些工具可能很贵,但对公司来说,这些工具的总成本对比新员工的工资加福利来说是多还是少呢?另外,这条建议也可以帮助你在预算恢复的时候为购买其他想要的技术设置一个先例。
4. 谨慎裁员
如果你想削减预算,不幸的是,裁员也会起到作用,6月份的失业数据显示,在流感大流行期间,有超过3000万美国人失业了。在网络安全方面,6月Pulse的调查显示,48%的数据安全团队在4月或5月“因新冠肺炎而裁员了”,40%的团队则计划在11月前裁员。
Bionic公司的Orlando表示:“失去有技能的团队成员将对团队士气产生持久的影响,并将妨碍未来的招聘工作,因此,对于那些希望在危机过去后保持某种能力的安全领导人来说,裁员应该是最后一个选择。”
总有一天,伴随冠状病毒而来的经济危机将会结束。让员工在处理健康问题、儿童保育问题和担心下次可能被解雇的时候加班,并不能培养员工的忠诚度。正如Touhill所指出的,人员、培训和许可费用构成了大多数安全预算的大部分。现在开始讨厌你的员工很可能会在冠状病毒之后辞职,这会增加接替他们的人员和培训成本。记住,我们的目标是在不损害未来安全的情况下找到削减预算的方法。
5. 无论如何,记住你的目标
回到Hausman的发言,安全领导人能否时刻关注自己的目标是很重要的。Orlando说,在决定今天或任何时候的削减时,总体策略都是一样的:“将安全团队的章程分解到分子水平,决定你可以承受的损失,并确保仍然能够完成工作。”在一天结束的时候,坚持这一单一的指导策略将能够告诉你什么应该削减,而什么不应该削减。