Gartner:首席信息安全官必须评估风险并鉴别“真实的”安全预算

:全球领先的信息技术研究和顾问公司Gartner近期发布的IT关键指标数据显示,各企业机构在IT安全与风险管理方面的支出平均占到IT总预算的5.6%。但分析师指出,IT安全支出占IT预算的比例介于约1%至13%之间,并可能在衡量项目成功与否时充当了一种误导性指标。

客户往往希望知道自己在信息安全方面的支出是否与其所在行业、地区内的其他公司以及同等规模的公司不相下上,以此评估是否应对安全性及相关项目实施尽职调查。

然而,有关行业平均值的笼统对比并不会对您的具体安全状态有多大帮助。您的支出可能与同行处于同一水平,但您的投资方向可能有误,因而存在极大隐患。又或者,您的支出可能使用得当,但风险偏好仍与您的同行有所不同。

Gartner认为,2020年之前,大部分企业机构将继续误将IT安全支出的均值作为评估安全态势的一种指标。

在不了解业务要求、风险容忍度以及满意率水平的情况下,IT安全支出占IT预算比例的这一指标自身并不能为适当分配IT或业务资源提供有效的对比信息。此外,单单IT支出统计数据一项无法衡量IT效率,而且也不能成为衡量成功IT企业机构的一种标准。它们只能提供关于平均费用的指导性意见,而不涉及复杂性或具体需求。

鉴别真实的安全预算

详尽的安全支出通常按硬件、软件、服务(外包与咨询)和人员各项进行细分。但是,由于未能充分反映企业在IT安全领域投资的真正规模,因此关于详细安全支出的任何统计数据本质上都“缺乏力度”,这是因为安全特性均被融入硬件、软件、活动或项目之中,并非直指安全性。

Gartner根据经验判断,许多企业机构完全不了解自身的安全预算。部分原因在于极少有成本核算系统将安全细分为单独的核算项目,许多与安全相关的流程都不是由安全专管人员所完成,因此无法准确地按照人员数量进行统计。大多数情况下,首席信息安全官(CISO)无法深入了解整个企业的安全支出情况。

为了确定真实的安全预算,您应关注多个方面,例如:具备嵌入式安全功能的网络设备、可能纳入终端用户支持预算的桌面保护、企业应用、外包或托管的安全服务、业务连续性或隐私计划以及可能由人力资源部提供资金支持的安全培训等。

Gartner研究结果显示,在安全状况良好的企业机构内,其安全支出占IT预算的比例有时低于平均值。20%支出最低的企业包括以下两大截然不同的类型:

  1. 因支出不足而无法获得安全保障的企业;
  2. 已实施最佳IT运营与安全实践以降低IT基础架构总体复杂度并尽力减少安全漏洞的安全型企业。

Gartner认为各企业应将4%至7%的IT预算投入IT安全领域:若拥有成熟的系统,则在该区间内降低预算;若完全开放且面临风险,则在该区间内提高预算水平。这些是指由首席信息安全官掌管和负责的预算,而非“真实”或总体预算。

为了切实重视信息安全,各企业机构必须首先评估其面临的风险,并且清醒地认识到在名目繁多的帐目内首席信息安全官的安全预算和“真实的”安全预算都有可能未将所有安全支出包含在内。

而那些真正了解企业机构内部所有的安全功能(包括必要但却丢失的功能),以及如何资助这些功能的首席信息安全官将极有可能利用间接投资的功能赢取更大优势。

Gartner客户可阅读报告全文:《掌握真实的信息安全预算》 (Identifying the Real Information Security Budget),了解更多详情。 

原文发布时间为:2017-7-14

 

本文作者:孙博

时间: 2024-10-22 06:18:17

Gartner:首席信息安全官必须评估风险并鉴别“真实的”安全预算的相关文章

首席信息安全官的未来将何去何从?

随着计算机网络技术的高速发展,一个企业的安全状况逐渐成为成功与否的重要因素.随着网络安全重要性的日益增强,首席信息安全官这一角色,与其职业道路,也在不断演变. Forrester公司最近一份题为"选择成为2018年首席信息安全官还是选择灭亡"的报告强调,首席信息安全官的角色正在向专于变更管理与过程监督的业务经理转变. 过去几年里,许多大公司深受数据泄露之苦,这使得现代首席信息安全官的责任愈发重大.数据泄密会对企业造成巨大的持续性影响,包括收入损失与企业名誉损害. 关键问题是,与众多第三

被动的安全战略给首席信息安全官带来巨大挑战

今天,F5 Networks在新加坡国际网络周上发布一份全面的全球报告,分析了首席信息安全官这一角色的作用以及全球企业为应对当今不断演进的威胁环境所采取的 IT 安全方法.报告发现,随着 IT 安全问题不断成为企业的当务之急,首席信息安全官在企业内的影响力不断提高.但是许多企业的安全战略仍在很大程度上十分被动,并且与业务部门缺乏融合. 该调查由波耐蒙研究所实施,报告结果基于对七个国家(美国.英国.德国.巴西.墨西哥.印度和中国)184 家公司的高级 IT 安全专家的访谈得出. F5 首席信息安全

为什么首席信息安全官需要自己的驾驶舱

航空发展早期,飞行员穿着家常衣服就开着飞机上天了,可用的仪表和导航帮助少得可怜.引擎问题只能从冒烟情况来判断,飞行速度是靠飞行员头发被风吹动的程度来感知,导航基本靠使用星星和太阳的航位推测法.随着飞机越来越复杂高端.今天,飞行员们手上有了"玻璃面板"和GPS,一板可知飞行所需的所有信息,还有几乎可让飞机自行飞行的自动驾驶系统. 就像飞行员肩负最小化风险.保障乘客和飞机安全的终极多任务处理挑战一样,首席信息安全官(CISO)也需要同时关注许多仪表和工具以最小化企业的网络风险,保护最贵重的

首席信息安全官:企业新年安全战略建议

本文讲的是首席信息安全官:企业新年安全战略建议,大多数首席信息安全官几乎都困扰于相同的问题,从处理不断编号的威胁环境到适当支持不断增加的社交网络技术,员工的移动设备和云服务等.事实上,Forrester公司的研究显示,安全专家面临的大多数安全挑战都是与企业方针以及路线相关的.例如,很多高级企业和IT领导要求首席信息安全官能够更好地支持和配合业务以及IT目标,这要求安全团队的定期交流和学习. 根据安全领导人在新年的困扰和关注领域,Forrester公司为大家提供了一些应对新年安全趋势的安全战略建议

虚拟CISO(首席信息安全官)是您的安全问题解决方案吗?(上)

首席信息安全官是一种相对稀缺的人才.毕竟,信息安全只是IT行业的一个相对较新的新增领域,只占行业的一小部分,虽然多数大型企业现在都自称拥有CISO.CSO(首席安全官)或信息安全主管,但许多企业仍然没有.事实上,通常情况下,公司都是在数据泄露之后才任命第一位CISO,比如Target公司在2014年和索尼公司在2011年都是如此. 然而,使自己成为一名CISO,并且成为一名优秀的CISO,这并非易事. 有证据表明,InfoSec领域存在巨大的技术缺口,包括思科公司.培训机构ISC2和其他机构共计

美国宣布任命首任联邦首席信息安全官

2016年2月,美国总统奥巴马宣布推出"美国国家网络行动计划"(Cybersecurity National Action Plan ,CNAP),采取一系列短期和长期的行动计划,来改善联邦政府和全国各地的网络安全状况."美国国家网络行动计划"(CNAP)建构在过去近八年内的一系列广泛的行动之上,已经从根本上改变了美国在数字时代的网络安全状况,并提升了整个国家的网络安全水平. 在过去的一年内,美国在以下信息安全方面取得显著进步: (1)成立了加强国家网络安全的相关委

美国任命首位首席信息安全官

美国白宫日前宣布,退役空军准将雷戈里·陶希尔将被任命为美国首位首席信息安全官(CISO).联邦首席信息官托尼·斯科特和总统特别助理.网络安全协调员迈克尔·丹尼尔共同撰写博文宣布了这项任命,并在博文中称,首席信息安全官的主要工作是确保政府各机构在信息安全方面采取正确的政策和举措,保持美国政府在21世纪网络安全领域的领先地位. 首席信息安全官及其领导的团队将被安排在总统预算与管理办公室,直接向首席信息官汇报工作.白宫称,该职位是美国<网络安全国家行动计划>(CNAP)中的一项目标.据悉,CNAP是

白宫任命退伍将军担任首位联邦首席信息安全官

网络时代人与人透过网络链接越来越密切,却也意味危险之处也增加了,像是信息安全威胁,或是以国家力量在背后支持的网络攻击.面对越来越严峻的信息安全挑战,美国白宫日前实现其 8 个月前的承诺,任命退伍军人 Gregory Touhill 出任首位首席信息安全官 (Chief Information Security Officer, CISO). 美国首席信息官 Tony Scott 和信息安全协调人 J. Michael Daniel 共同宣布 Gregory Touhill 为美国首位首席信息安全

世界100强企业的首席信息安全官是啥样?

首席信息安全官应该是什么样子?一般人会觉得这问题挺难回答,也的确是这样.但网络安全公司 Digital Guardian 的一份对<财富>100强企业首席信息安全官的研究给这个问题做了回答. 毫不令人惊讶,首席安全官群体中绝大多数都是男性,占总数89%.教育方面,85%的人拥有学士以上学历,40%的人拥有硕士学历,仅有几个人拿到了博士和法律博士学位. 首席安全官们学的专业里,最流行的三个是:商务.信息安全/信息技术.计算机科学. 80%的信息安全官从事当前职位不超过五年.在认证方面,一半人拥有