在咱們中國，有句話叫：年到頭月到尾。是這個年周期總結(jié)的月份，也是一個下一個年周期開始謀劃的月份。那么，在網(wǎng)絡(luò)安全領(lǐng)域，如何把握明年的決策呢？在IBM的網(wǎng)站上有這么一篇文章，可以參考。雖然各個國家都有自己的實(shí)際情況，不過有些方法論是放之四海而皆準(zhǔn)的，我們通過拿來主義一起看看2025如何明智的考慮網(wǎng)絡(luò)安全支出。

十二月一年之末，也是一歲將始。但對于企業(yè)領(lǐng)導(dǎo)者來說，本月最重要的數(shù)字是 2025 年的預(yù)算數(shù)字。由于網(wǎng)絡(luò)安全是 2025 年許多企業(yè)的首要關(guān)注點(diǎn)，因此它很可能成為新年許多預(yù)算中的頭條項(xiàng)目。

Gartner 預(yù)計，到 2025 年，網(wǎng)絡(luò)安全支出預(yù)計將增長 15%，從 1,839 億美元增至 2,120 億美元。安全服務(wù)是支出增長最快的領(lǐng)域，安全軟件位居第二，網(wǎng)絡(luò)安全是第三大增長領(lǐng)域。

Gartner 高級研究主管 Shailendra Upadhyay 在最近的新聞稿中表示：“持續(xù)加劇的威脅環(huán)境、云遷移和人才短缺將安全推到了優(yōu)先事項(xiàng)的首位，并迫使首席信息安全官 (CISO) 增加其組織的安全支出。” “此外，組織目前正在評估其端點(diǎn)保護(hù)平臺 (EPP) 和端點(diǎn)檢測和響應(yīng) (EDR)需求，并在 CrowdStrike 中斷后 進(jìn)行調(diào)整以提高其運(yùn)營彈性和事件響應(yīng)。”

導(dǎo)致支出增加的因素

盡管支出決策和增長可能出于多種不同的原因，但 Gartner 指出了預(yù)測增長的兩個主要原因。

• 生成式人工智能： Garter 表示，由于組織使用生成式人工智能，他們將需要采取額外措施來保護(hù)其環(huán)境。IBM生成式人工智能安全框架列出了五個步驟：保護(hù)數(shù)據(jù)、保護(hù)模型、保護(hù)使用、保護(hù)人工智能模型基礎(chǔ)設(shè)施和建立健全的人工智能治理。由于生成式人工智能的使用增加，許多組織將需要購買額外的軟件，例如應(yīng)用程序安全、數(shù)據(jù)安全以及隱私和基礎(chǔ)設(shè)施保護(hù)。
• 全球技能短缺：許多組織都面臨技能短缺的問題，他們沒有內(nèi)部人才來管理他們的網(wǎng)絡(luò)安全需求。作為一種解決方案，許多組織正在聘請幫助來降低風(fēng)險，例如安全咨詢服務(wù)、安全專業(yè)服務(wù)和托管安全服務(wù)。Gartner 指出，這些服務(wù)的成本是預(yù)計支出較高的一個驅(qū)動因素，使服務(wù)成為網(wǎng)絡(luò)安全的一個高增長領(lǐng)域。

創(chuàng)建網(wǎng)絡(luò)安全預(yù)算

準(zhǔn)確的預(yù)算編制不應(yīng)只是簡單地在組織的預(yù)算中列出包含網(wǎng)絡(luò)安全的單獨(dú)項(xiàng)目，而應(yīng)從列出有效網(wǎng)絡(luò)安全計劃的所有組成部分開始。

在預(yù)算中考慮以下因素：

• 勞動力成本：除了所有全職員工的工資外，還要考慮您需要購買的任何額外服務(wù)。例如，外包滲透測試就屬于這一類。此外，考慮您是否需要為網(wǎng)絡(luò)安全的任何部分聘請托管服務(wù)。
• 技術(shù)：考慮所需的所有類型的軟件，包括防病毒軟件、加密工具和防火墻。考慮您是否將使用生成式人工智能來保障網(wǎng)絡(luò)安全，以及保護(hù)組織免受用于日常業(yè)務(wù)任務(wù)的生成式人工智能工具攻擊所需的其他工具。一定要包括硬件成本，例如運(yùn)行任何新技術(shù)工具（尤其是生成式人工智能）所需的任何基礎(chǔ)設(shè)施升級。
• 培訓(xùn)：許多組織只考慮為網(wǎng)絡(luò)安全員工提供培訓(xùn)和認(rèn)證的預(yù)算。但是，一定要為整個組織分配網(wǎng)絡(luò)安全培訓(xùn)資金。通過跳出固有思維模式并留出足夠的資金，您可以大大減少因員工失誤而導(dǎo)致的網(wǎng)絡(luò)攻擊。
• 事件響應(yīng)：發(fā)生違規(guī)或攻擊后，組織需要資金來控制違規(guī)并管理響應(yīng)。經(jīng)常發(fā)生的成本包括法律費(fèi)用、公關(guān)公司費(fèi)用、加班費(fèi)、數(shù)據(jù)泄露通知、身份盜竊保護(hù)和收入損失。

預(yù)算可能會影響員工壓力

雖然許多組織在制定網(wǎng)絡(luò)安全預(yù)算時會考慮業(yè)務(wù)中斷和潛在風(fēng)險，但許多組織忽視了預(yù)算對網(wǎng)絡(luò)安全團(tuán)隊(duì)的影響。

ISACA 2024年及以后網(wǎng)絡(luò)安全狀況調(diào)查發(fā)現(xiàn)，66% 的網(wǎng)絡(luò)安全專業(yè)人員表示他們的角色壓力更大。毫不奇怪，首要原因 (81%) 是威脅形勢日益復(fù)雜。然而，預(yù)算太低 (45%) 與招聘留任挑戰(zhàn)加劇和員工缺乏技能/培訓(xùn)并列第二。

報告發(fā)現(xiàn)，超過一半（51%）的人認(rèn)為他們的預(yù)算資金不足，高于 2023 年持這種觀點(diǎn)的 47%。此外，只有 37% 的人預(yù)計他們的預(yù)算將在 2025 年增加。更令人緊張的是，只有 40% 的人高度相信他們的團(tuán)隊(duì)已做好應(yīng)對網(wǎng)絡(luò)攻擊的準(zhǔn)備。與此同時，47% 的人預(yù)計他們的組織會遭受網(wǎng)絡(luò)攻擊。

制定 2025 年預(yù)算的同時減輕員工壓力

當(dāng)企業(yè)領(lǐng)導(dǎo)者制定預(yù)算時，這里有一些方法可以減輕與 2025 年預(yù)算相關(guān)的員工壓力。

• 讓親力親為的網(wǎng)絡(luò)安全團(tuán)隊(duì)成員參與預(yù)算討論。當(dāng)員工感到他們的觀點(diǎn)和想法被聽取時，他們不太可能產(chǎn)生怨恨。此外，他們可以親眼看到預(yù)算中的權(quán)衡以及每個決策對其他項(xiàng)目的影響。 
• 讓員工分享他們目前面臨的挑戰(zhàn)。通過了解他們的問題，您可以利用這些問題來推動預(yù)算決策。如果團(tuán)隊(duì)成員跳到技術(shù)解決方案，請引導(dǎo)他們首先討論問題。
• 讓您的網(wǎng)絡(luò)安全團(tuán)隊(duì)進(jìn)行研究并獲取估算。一旦您進(jìn)入預(yù)算的解決方案部分，請網(wǎng)絡(luò)安全團(tuán)隊(duì)成員研究工具并獲取估算。由于他們將是日常使用這些工具的人，因此讓他們認(rèn)同特定的解決方案可以幫助提高滿意度并提高預(yù)算的準(zhǔn)確性。
• 向團(tuán)隊(duì)成員展示預(yù)算草案。預(yù)算編制通常意味著做出艱難的決定。通過向團(tuán)隊(duì)展示預(yù)算草案并征求他們的意見，他們感覺自己被傾聽，也能看到預(yù)算編制過程中必要的權(quán)衡。

雖然網(wǎng)絡(luò)安全支出的增加總體上是一個積極的趨勢，但最重要的是公司如何使用這些增加的投資。通過為您的特定組織做出正確的選擇，您可以降低風(fēng)險，同時提高員工滿意度。