组织应该在网络安全方面投入多少钱？

每个组织都需要斥地本身的持续性流程来评估需求并证实平安支出的合理性。以下是两名首席信息平安官 (CISO) 对此给出的建议。

[好文分享：www.ii77.com]

一个组织事实应该在收集平安方面破费几多？谜底很简洁：凭据具体情形而定。

影响组织具体破费的身分有好多，包罗公司所从事的买卖类型，其处理的小我或敏感数据或常识产权的类型，其面临的监管要求，其 IT 根蒂架构的复杂性，其成为恶意行为者冲击方针的或者性等等。

与 “一个组织应该在收集平安方面破费几多” 比拟，一个更为主要的问题或者是：“一个组织应该若何确定需要在收集平安方面破费几多？” 企业组织经由斥地持续性流程来确定适当的平安支出水平，对于有效珍爱系统和数据而言至关主要。

诸多身分鞭策平安支出

比来发布的一些研究申报展示了一些组织在平安方面的支显现状。CIO 网站于 2018 年 11 月针对全球 683 位 IT 高管进行的一项名为《2019 CIO状况查询》的申报显露，绝大多数受访者透露，IT 平安性支出只占有其公司IT总预算的 15%；近 1/4（23%）的受访组织将其 IT 总预算的 20% 或更多用于平安性方面。

查询还显露，企业规模似乎并不是一个主要的影响身分，因为就平安性占有 IT 总预算的份额而言，小型企业实际上与大型企业相差无几。而就行业而言，那些将预算的最高份额用于平安方面的行业首要有专业办事、金融办事和高科技范畴。

当被问及 “2019年哪些买卖规划将在鞭策其组织的 IT 投资中施展最主要的感化” 时，40% 的 IT 主管透露需要增加收集平安珍爱。紧随厥后的买卖规划还包罗提高响应的运营效率，改善客户体验，成长买卖、改变现有买卖流程以及提高盈利能力等等。

除此之外，凭据 IDG Communications 对全球 664 名 “以平安为重点” 的专业人员进行的另一项查询显露，近 2/3 (60%) 的企业组织规划来岁增加其平安预算，且平均增幅为 13%。

决意平安支出优先级的身分包罗最佳实践 (74%)，合规性授权 (69%)，响应组织发生的平安事件 (35％），董事会授权 (33%)，以及响应发生在另一个组织的平安事件 (29%)。

国际数据公司 (IDC) 的收集平安产物项目副总裁 Frank Dickson 透露，一样来说，组织应该将其 IT 预算的  7% 到 10% 用于平安方面。然则，若是您的根蒂架构非常复杂或受珍爱的资产极具价格，那么您也能够将预算份额提高至 15% 或更多。同样地，在某些情形下，5% 的预算份额也或者是合适的。

平安公司若何确定其平安支出？

HITRUST（供应风险治理和平安办事的公司）首席信息平安官 Jason Taule 透露，在 HITRUST 公司，平安预算多年来一向连结不乱，这反映我们的向导团队始终致力于卖力看待平安和隐私问题，同时连结着一个充沛严谨的规划 “以解决公司自身面临的威胁以及合作伙伴和将数据托管在 HITRUST 的客户所面临的风险敞口。”

Taule 指出，“平安预算多年来一向连结不乱” 的事实或者有些误导。与大多数企业组织一般，我们仍然需要涵盖更普遍的威胁和风险敞口，但同时也要实现更高的运营效率。是以，为了连结预算不乱，这两方面需要互相协调。简洁来说就是，若是不提高运营效率，支出将逐年增加。

为了匡助确定公司应该在平安方面破费几多，HITRUST 采用了一个掌握框架来界说它需要实施的手艺、治理和物理政策、法式以及亮点产物。

Taule 透露，我们还做了有关于持续监控的事情（这件事也是我们建议客户做的），而且已经实施了一些办法和指标来治理我们的平安规划。这里涉及到了治理问题，因为任何有关平安问题的决意都必需要有“反馈”，如斯一来，组织才可以验证该决意是否实现了预期的结果，或是凭据反馈信息和需求做出适当的调整。

为了确定适当的支出水平，组织需要确定额外支出在降低风险方面所发生的边际收益（指增加一单元单子产物的发卖所增加的收益，即最后一单元单子产物的售出所取得的收益）的水平。这是组织能够展示其尽职查询的要害点，因为得出的这个水平水平是经由精心推理且可辩护的。

很少有组织可以奢望完全由本身来决意在哪些方面花几多钱，大多数企业组织都面临着各类监管要求、客户盼望或是合作伙伴的特别要求，这些身分都邑发生一些额外的支出水平。

在某些情形下，至少在初始阶段，企业或者可以在其订价中反映出部门费用。但最终，除了最严厉的要求，其他所有要求都将成为客户进展企业支付的贸易成本。

有些组织或者比其他组织更正视平安和隐私问题，甚至或者选择将其作为与竞争敌手区分的窍门。是以，他们或者会选择在平安方面投入更多资金。

在根基层面上，HITRUST 基于常规、按期和反复性风险评估回覆了在平安方面破费几多的问题。若是是风险没有发生改变，那么我们就不需要调整支出。若是我们得出的结论是，我们面临的是超出我们接管能力的风险水平，那么我们就需要对支出情形进行调整。主要的是要强调，在平安方面破费几多的问题没有萧规曹随的谜底。

科罗拉多州是若何实现平安支出增进的？

科罗拉多州本年在平安方面的支出为 2150 万美元（约占 IT 总支出的 6％），高于 2018 年的 1270 万美元（约占 IT 总支出的 4％）。据科罗拉多州州长办公室首席信息平安官 Deborah Blyth 称，这是该州当局有史以来最大的平安预算增进。

一样来说，很难确定投入几多钱是充沛的，以及适当的支出水平应该是几多。科罗拉多州采用了一个框架——20 大平安掌握（20 Critical Security Controls），并凭据该框架权衡平安成熟度。

然后，这种持续的成熟度评估被用于证实需要额外的资金，来实施额外的掌握办法和子掌握办法。若是资金阻碍我们周全实施这些子掌握办法，我们或者会将其添加到预算恳求中。诸如络续转变的机构需乞降当前面临的威胁等身分也在我们的预算恳求中。

例如，科罗拉多州交通部在 2018 年 2 月履历的平安事变严重影响了本年的预算恳求。缺乏充沛的资金推迟了需要的平安改善的实施，这些改善能够防止或减轻平安事件的影响，尽管这些起劲已经进行了多少年。今朝，科罗拉多州已经成功构建了买卖案例并提高了其资金水平，以便在本年完成已确定的平安改善方案。

科罗拉多州还使用了国度首席信息官协会 (NASCIO) 每隔一年发布的一项研究，以认识其平安投资与其他州的对照情形。这项研究表明，各州投入了 6%-10% 的 IT 预算用于平安方面。