企业应该在安全方面花多少钱呢？答案很简单，视具体情况而定。这些因素包括企业的业务类型、处理的个人数据、敏感数据或知识产权的类型、所面临的监管要求、IT基础设施的复杂性、成为攻击目标的可能性以及其他一些可能会产生影响的因素。

与“企业应该在安全方面花费多少？”这一问题相比，一个更为重要的问题可能是：“一个企业应该如何确定需要在安全方面花费多少？”能够帮助企业确定适当的安全支出水平的持续性流程对于有效保护系统和数据而言至关重要。

推动安全支出的诸多因素

近期的一些研究报告揭示了关于企业在安全方面的支出情况。首席信息官网站在2018年11月发布了一份名为《2019年首席信息官状态》的调查报告。该报告对全球683名IT高管就IT安全预算占企业IT总预算的百分比进行了调查。平均结果为15%。近1/4（23%）的受访者表示将20%或更多的IT预算被用在了安全性方面。

企业规模似乎并不是一项重要的影响因素。总体而言，在小型企业中，安全支出占IT总预算的比例与大型企业相差无几。就行业而言，那些安全支出在预算中占很高比例的行业主要集中在专业服务、金融服务和高科技领域。

当被问及“2019年哪些业务计划将在推动公司IT投资中发挥最重要的作用”时，40%的IT主管认为需要增加网络安全防护。其次分别为提高响应的运营效率、改善客户体验、发展业务、改革现有业务流程和提高盈利能力。

据IDG Communications对全球664名安全专业人员进行的调查研究显示，近2/3(60%)的企业计划在明年增加其安全预算，且平均增幅为13%。

决定安全支出优先级的因素分别为最佳实践(74%)、合规性授权(69%)、响应公司发生的安全事件(35％）、董事会授权(33%)以及响应发生其他企业的安全事件(29%)。

IDC负责网络安全产品项目的副总裁Frank Dickson表示，一般来说，企业应该将其7%至10%的IT预算用于安全方面。

Dickson称：“如果你的基础架构非常复杂或受保护的资产极具价值，即便你将安全支出的比例提高至15%也未必能够取得你想要的结果。同样地，在某些情况下，5%的预算比例也可能是合适的。”

安全企业该如何确定其安全支出？

提供风险管理和安全服务的HITRUST公司的首席信息安全官 Jason Taule表示，在他们的公司，安全预算多年来一直保持稳定。他称：“这反映出我们的领导团队在认真对待安全和隐私问题方面一以贯之，始终以严谨的计划 以解决公司自身面临的风险以及合作伙伴和将数据托管给HITRUST 的客户所面临的威胁。”

提高运营效率让安全支出保持稳定

Taule表示，安全预算一直保持平稳这一事实在某种程度上是误读。他称：“与大多数企业一样，我们也需要不断地应对越来越多的威胁和风险，但与此同时我们也在逐步提高运营效率。”由于这两个方面相互抵消，最终的结果才表现为预算保持稳定。如果不提高运营效率，那么支出将会将逐年增加。

通过控制框架明确策略和需求

为了帮助公司确定应该在安全方面花费多少，HITRUST采用了一个控制框架来明确他们需要部署的技术性、管理性和物理性策略、程序以及亮点产品。

Taule说：“我们还建议客户实施持续监控，通过一些措施和指标来管理安全项目。这其中涉及到治理问题，任何安全方面的支出决定都必须要有反馈结果。这样可让公司验证相关决定是否实现了预期的效果，或是根据需要做出适当的调整。”

确定收益递减点

为了确定适当的支出水平，公司需要确定一个点，即在这个位置，额外支出既能降低风险方面又能产生边际收益。他说：“这是展现公司能力水平的地方，因为支出水平是经过精心推理才得出的并且是合乎情理的。”

一些安全支出是强制性的

很少有企业能够完全由自己决定在哪些方面进行支出，大多数企业都面临着各种监管要求、客户期望或是合作伙伴要求，这些都会产生一些额外的支出。

Taule说：“在某些情况下，至少在起步阶段，业务或许能够在其定价中反映出部分这方面的费用。但最终，除了最严格的要求，其他所有要求客户都希望企业作为业务成本予以支出。”

有些企业可能比其他公司更重视安全和隐私问题，甚至可能选择将这作为区别于竞争对手策略。因此，他们可能会选择在安全方面投入更多资金。

进行重复性风险评估

HITRUST公司基本上回答了基于常规性、定期性和重复性风险评估的安全支出费用问题。Taule说：“如果风险没有发生改变，那么我们就不需要调整支出。如果我们得出的结论是，我们面临的风险水平超出我们接受范围，那么我们就需要对支出情况进行调整。需要着重强调的一点是，在安全支出方面没有一固定的答案。”

科罗拉多州是如何实现安全支出增长的？

科罗拉多州今年在安全方面的支出为2150万美元（约占IT总支出的 6％），高于2018年的1270万美元（约占IT总支出的 4％）。据科罗拉多州长办公室首席信息安全官Deborah Blyth称，这是该州政府有史以来最大的安全预算增长。

创建一个框架以衡量安全成熟程度

要想确定在安全方面投入多少钱就足够了，以及适当的支出水平应该是多少非常困难。为此，科罗拉多州采用了一个名为“20大关键安全控制”（20 Critical Security Controls）的框架，并根据该框架衡量安全成熟程度。

Blythe说：“这种持续性的成熟度评估被用于证明需要获得额外资金的正当性，额外的控制措施和子控制措施需要额外的资金。如果资金阻碍我们全面实施这些子控制措施，我们可能会将其添加到预算请求中。诸如不断变化的机构需求和当前面临的威胁等因素也在我们的预算请求中。”

通过当前威胁证实安全支出需求的合理性

科罗拉多州交通部在2018年2月经历的安全事故对今年的预算请求产生了常远影响。Blythe称：“资金不足导致必要的安全改进被放缓，而这些改进可以防止或减轻安全事件的影响，尽管这些努力已经进行了好多年。为了在今年完成已确定的安全改进方案，科罗拉多州已经成功构建了业务案例并提高了资金水平。”

将支出与同行进行比较

科罗拉多州还通过全国首席信息官协会(NASCIO)每两年发布一次的研究报告与其他州的安全支出进行比较，以了解其安全投资水平。该研究报告显示，各州投入安全方面的资金约占其IT总预算的6%-10%。

作者：Bob Violino为Computerworld、CIO、CSO、InfoWorld和Network World网站的特约撰稿人。

编译：陈琳华

原文网址：https://www.csoonline.com/article/3432138/how-much-should-you-spend-on-security.html

责任编辑：周星如