他表示：“鉴于削减预算的紧迫性，我们意识到这一过程不可能尽善尽美，难免会出现漏洞。”

这段经历影响了他应对限制预算的方式，如今，他敦促面临类似挑战的CISO们明确优先级，对哪些预算可以缩减、哪些预算要不惜一切代价保护，做出深思熟虑且慎重的决策。“要警惕对所有事项都一刀切的错误观念，这会造成看不见的脆弱性。在出现问题之前，没人会感觉到削减预算带来的影响。”

在资源减少的同时保障安全，似乎是一项不可能完成的任务，每个决策都伴随着权衡，且容错空间极小。

如何缩减开支而不破坏整体安全

网络安全支出实现两位数增长的时代或许已一去不复返。根据IANS Research和Artico Search发布的《安全预算基准报告》，2024年，每八位CISO中就有一位报告预算被削减，约四分之一的CISO表示预算持平。即便在获得更多资金的多数CISO中，大多数人报告的预算增幅也较为有限，通常在1%至5%之间。不出所料，近三分之一的CISO表示，当前预算无法满足需求。

从支出构成来看，最大一部分(37%)用于人员和薪酬，非现场软件占23%，其次是外包、现场工具和特定项目，这些方面的支出占比较小，仅有5%用于硬件，4%的预算用于培训和发展，最后，仅有3%的预算留作可自由支配开支。

这种精打细算的分配方式意味着，一旦预算削减来袭，安全负责人往往要在没有明确的选项的情况下做出艰难决策。选择保护什么、缩减什么，以及如何在不使企业面临风险的情况下做到这一点，都需要战略性的思考，但同样重要的是心态调整。“当预算缩减时，我认为这是一个验证先前风险假设、挑战遗留支出，以及使安全投资与关键业务成果保持一致的机会。”马赫迪说。

他采用了一种围绕三个维度构建的结构化方法：

• 战略风险(高、中、低)：如果此控制措施失效，实际会面临怎样的风险?

• 业务一致性：哪些职能有助于创收、赢得客户信任或确保合规?

• 显而易见的选择：这些是冗余工具、闲置软件，或是那些在表面上看起来不错，但实际无法提供可衡量保护作用的“安全作秀”控制措施。

在进行此评估时，马赫迪组建了一个跨职能团队，其中包括业务部门负责人、安全架构师、威胁情报负责人，以及企业内外的可信赖同行，这种协作方式不仅分散了责任，还有助于发现盲点，并使预算削减与企业的整体风险状况保持一致。

他还使用关键指标来评估某些工具或流程是否高效，并权衡覆盖范围与复杂程度，试图确定某个解决方案是在解决独特的安全问题，还是仅仅重复现有的工作。最后，他考虑一项投资能多快产生可衡量的成果。利用这一框架，CISO们可以确定在哪些领域可以在不显著增加风险的情况下进行预算缩减。

从何入手

首先需要评估的领域之一是冗余工具。“如果两个工具能完成70%的相同工作，那么保留集成和支持更好的那个，”马赫迪说。然后，CISO们可以着手处理那些通常可以合理调整的、受遗留合规要求驱动的控制措施。“要关注有效的控制措施，而非仅为了应付检查的控制措施，特别是在那些过度依赖遗留治理、风险和合规管理的企业中。”

不过，削减时应谨慎行事。“遵守适用法规是不可妥协的，”Approach Cyber公司的CISO劳拉·冈萨雷斯·普里德(Laura Gonzalez Priede)说。因此，安全负责人必须清楚了解自己的法律义务，并确保对安全计划的任何调整都不会危及合规性或满足核心业务需求的能力。

并非每个预算决策都是非黑即白的。一些举措，如创新或实验性项目，处于灰色地带，它们很有价值，但并不总是那么紧迫。在资金紧张时期，这些努力可以暂时搁置，特别是当它们不针对紧迫威胁或合规需求时。

然而，为了在创新项目暂停期间保持团队士气，马赫迪建议让他们制定一份详细的预算改善后的加速推进策略，这不仅能给他们一个目标，还能确保企业在获得更多资源时能够迅速恢复势头。

在削减开支时期，冈萨雷斯·普里德优先考虑人员和流程，而非工具。“虽然工具很重要，但许多工具可以用开源或内部开发的替代品替代，”她说，“一个由有能力的人员支持的强大流程，往往可以弥补特定工具的缺失。”

在裁员时，马赫迪强调了超越职位头衔或技术认证的重要性。“不要想当然地认为技术性最强的岗位就是最关键的，有时，那些将安全与业务紧密联系起来的人才是你最具优势的资产。”

错误的决策可能让你损失惨重

选择在哪些方面削减网络安全预算很少是简单直接的，仓促行事只会加大风险。这意味着，很容易做出一些当下看似实用，但最终会损害韧性或日后引入隐藏漏洞的削减决策。

“据我所见，CISO们在压力下往往过于仓促地削减检测和响应能力、事件准备演练以及安全运营岗位。”马赫迪说。

他们认为，加强预防就意味着可以在事后应对方面减少支出，但这是一场危险的赌注。“事情总会出问题!虽然预防很好，但总会有疏漏，”他说，“当事情出问题时，重要的不是控制措施的数量，而是你的响应时间、遏制能力以及恢复能力。”

在担任Gartner分析师期间，马赫迪目睹了这种情况的发生。“在一个案例中，一位CISO削减了事件响应(IR)准备工作的投入，并将一级安全运营中心(SOC)外包以节省预算，”他回忆道，“当发生数据泄露时，服务提供商错过了早期迹象，而且由于缺乏内部力量，该企业在甚至了解泄露范围之前就浪费了关键时间。”在这种情况下，实际损失的不仅仅是数据，还有信誉。

CISO们犯的另一个错误是削减跨职能岗位，如嵌入式产品安全、治理负责人或与业务对齐的风险顾问等岗位。“这些岗位是连接企业各部分的纽带，”马赫迪说，“没有它们，安全就会变得被动、被误解，并被边缘化。”

在削减开支期间，CISO们可能还会选择保持沉默，减少透明度。“他们应该反其道而行之!”他说，“展示哪些得到了保护，哪些风险被接受了，要对自己的权衡决策负责，并充满信心。”

保持透明度并关注人员需求至关重要，特别是在困难时期。冈萨雷斯·普里德发现，CISO们常有的一个遗憾是对员工和培训投资不足，这会悄然削弱团队能力。“持续的教育能确保员工保持胜任力和安全意识，这在不断演变的威胁环境中至关重要。”她说。此外，裁减错误的岗位或吝啬于引进人才往往会导致效率低下、优先级错位和长期成本上升。

另一个常见的疏忽是缺乏完善的流程文档，这对于保持连续性至关重要，特别是在关键人员离职时。“没有这些文档，企业就面临着丢失关键知识和执行一致性的风险，这可能会带来之前未曾预见的风险。”她说。

但从另一方面来说，缩减开支也可能带来积极的一面。冈萨雷斯·普里德表示，这促使安全负责人花时间重新评估优先级，并优化流程，使其更加敏捷和以结果为导向。“在过渡期间，必须通过适当的规划和监控来谨慎管理。”

企业网D1net(www.d1net.com)：

国内头部to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。