“最具戰略眼光的CSO不是那些擁有最多安全預算的人，而是那些能確切證明花出去的每一美元都能直接強化其安全基礎的人。“HackerOne的首席技術官Alex Rice這樣評價CSO預算管理的重要性。

然而，當前，CSO普遍面臨著明智安全支出的巨大壓力。由于優先事項安排不當和預算使用效率低下，許多組織仍然易受攻擊。

碎片化架構之殤

增加支出并不一定能帶來安全性的提升。近期的數據顯示，盡管網絡安全預算在增加，但安全事件卻有增無減。根據Ponemon研究所的一項調查，網絡安全預算同比增長了59%，然而在過去兩年中還是有61%組織遭遇了數據泄露或網絡安全事件。

Rice認為，網絡安全領域最普遍的浪費并非源自工具不足，而是源于那些與經過驗證的風險模型無關的投資。他分析說，如果安全支出不能成為將現實世界威脅與可衡量結果相連接的閉環系統的一部分，那么這樣的支出基本上是在為表面功夫花錢，而不是為了真正的防護。

Rice補充道：“許多首席信息安全官所采用的安全架構是碎片化的，其中各種工具孤立運行，從而產生危險的盲點。隨著攻擊面在代碼、人工智能系統、云基礎設施和傳統信息技術領域不斷擴大，這種孤立的方式不僅效率低下，而且十分危險。深度防御需要對所有領域進行協同可視性管理。”

Rice認為，很多CSO構建了一個錯綜復雜的單點解決方案生態系統，這些解決方案往往掩蓋而非解決基本的安全漏洞。

三種常見的支出過度及其緩解辦法

1.工具過載

組織常常投資多種功能重疊的工具。Optiv的一項研究發現，40%的受訪者認為自己擁有過多的安全工具，這阻礙了整體效能。

建議

對現有工具進行全面審查，找出冗余部分。精簡安全工具組合可以降低成本和復雜性。

2.技術利用不足

對人工智能和機器學習等先進技術的投資值得稱贊。然而，如果沒有適當的整合和專業人員，這些工具就無法得到充分利用。

建議

在購買新解決方案之前，確保組織具備部署它們所需的專業知識和基礎設施。

3.合規導向型支出

主要為滿足監管要求而分配資金可能會帶來一種虛假的安全感。合規并不等同于全面的威脅防護。

建議

在合規工作與應對現實世界威脅的主動安全措施投資之間取得平衡。

三個需要重點投資的領域及建議

1.事件響應規劃

許多組織缺乏事件響應計劃，這導致恢復時間延長和數據泄露成本增加。在網絡安全事件發生期間及之后進行有效的溝通，對于維護與所有利益相關者的信任至關重要。

建議

投資制定并定期更新事件響應計劃。通過模擬演練培訓員工可以提高應對能力。

2.持續安全培訓

大量安全事件源于人為錯誤。盡管如此，只有23%的地方政府官員稱自己在整個組織的網絡安全工作中“非常積極”。

建議

撥出資金用于持續的、針對不同崗位的網絡安全培訓，以培養安全意識文化。

3.高級威脅檢測與響應

傳統安全措施可能不足以應對復雜攻擊。投資高級威脅檢測可以顯著降低數據泄露的影響。有效的威脅檢測需要對網絡活動進行全面可視性管理，并具備持續監控網絡中事件的能力。

建議

優先選擇提供實時監控和自動響應功能的解決方案。

預算編制三個重要建議

1.采用基于風險的方法

根據組織特定的威脅形勢和風險狀況來分配預算。這能確保資金用于解決最緊迫的漏洞。

2.持續評估

定期評估安全投資的有效性。各項指標和關鍵績效指標可以為明智的預算決策提供指導。主動投資網絡安全可以通過在威脅發生前預防威脅并簡化安全操作來提高投資回報率。

3.促進跨部門協作

網絡安全不僅僅是信息技術部門的事。與其他部門合作，以確保采取全面的安全方法，實現投資回報率最大化。

Rice表示，HackerOne的一項調查顯示，大多數首席信息安全官認為傳統的投資回報率衡量方法對安全投資并無用處。這并不奇怪，因為眾所周知，用傳統指標來量化網絡安全非常困難。因此他認為，像緩解回報率（Return on Mitigation）這樣更有意義的方法，它考慮到了所避免的潛在損失，能更準確地反映安全的真正商業價值。

Rice最后說，在購買下一個看似很棒的工具之前，CSO應該先自問：

• 這個解決方案能讓你真實的安全狀況有意義地透明化嗎？
• 你能追蹤它是如何緩解特定的、經過驗證的風險的嗎？

歸根結底，有效的安全不在于積累工具，而在于建立信任。而信任需要透明度，無論是對內部利益相關者還是對客戶而言。