全球知名的信息技术研究和顾问公司Gartner近期发布的“IT关键指标数据”显示,各企业机构在IT安全与风险管理方面的支出平均占到IT总预算的5.6%。但IT安全支出占IT预算的比例介于约1%至13%之间,并可能在衡量项目成功与否时充当了一种误导性指标。
评估安全风险
客户往往希望知道自己在信息安全方面的支出是否与其所在行业、地区内的其他公司,以及同等规模的公司不相上下,以此来评估是否应对安全性和相关项目进行财务投入。
然而,有关行业平均值的笼统对比并不会对企业的具体安全状态有多大帮助。企业的支出可能与同行处于同一水平,但企业的投资方向可能有误,因而存在极大隐患。又或者,企业的支出可能使用得当,但风险偏好仍与同行有所不同。
Gartner认为,2020年之前,大部分企业机构将继续误将IT安全支出的均值作为评估安全态势的一种指标。
在不了解业务要求、风险容忍度和满意率水平的情况下,IT安全支出占IT预算比例的这一指标自身并不能为适当分配IT或业务资源提供有效的对比信息。
此外,单单IT支出统计数据一项无法衡量IT效率,而且也不能成为衡量成功IT企业机构的一种标准。它们只能提供关于平均费用的指导性意见,而不涉及复杂性或具体需求。
鉴别“真实的”安全预算
详尽的安全支出通常按硬件、软件、服务(外包与咨询)和人员各项进行细分。但是,由于未能充分反映企业在IT安全领域投资的真正规模,因此关于详细安全支出的任何统计数据本质上都“缺乏力度”。这是因为安全特性均被融入硬件、软件、活动或项目之中,并非直指安全性。
Gartner根据经验判断,许多企业完全不了解自身的安全预算。部分原因在于极少有成本核算系统将安全细分为单独的核算项目,许多与安全相关的流程都不是由安全专管人员所完成,因此无法准确地按照人员数量进行统计。
大多数情况下,首席信息安全官(CISO)无法深入了解整个企业的安全支出情况。
为了确定真实的安全预算,CISO应关注多个方面,例如:具备嵌入式安全功能的网络设备、可能纳入终端用户支持预算的桌面保护、企业应用、外包或托管的安全服务、业务连续性或隐私计划,以及可能由人力资源部提供资金支持的安全培训等。
Gartner“IT关键指标数据”研究结果显示,在安全状况良好的企业机构内,其安全支出占IT预算的比例有时低于平均值。20%支出最低的企业包括以下两大截然不同的类型:
一是因支出不足而无法获得安全保障的企业。
二是已实施最佳IT运营与安全實践以降低IT基础架构总体复杂度并尽力减少安全漏洞的安全型企业。
Gartner认为,各企业应将4%至7%的IT预算投入IT安全领域。若拥有成熟的系统,则在该区间内降低预算。若完全开放且面临风险,则在该区间内提高预算水平。这些是指由CISO掌管和负责的预算,而非“真实”或总体预算。
为了切实重视信息安全,各企业机构必须首先评估其面临的风险,并且清醒地认识到在名目繁多的账目内,CISO的安全预算和“真实的”安全预算都有可能未将所有安全支出包含在内。
而那些真正了解企业机构内部所有的安全功能(包括必要但却丢失的功能),以及如何提升这些功能的CISO将极有可能利用间接投资的方式赢得支持。
