长期以来,人们都知道信息安全领域一直是人员不足,资金不足,疫情之前的确是这种情况。在当前经济低迷时期,信息安全领域面临更大的压力,研究公司Pulse在6月4日的报告中称,目前23%的安全预算被冻结,49%的预算被削减了。

那么,当CEO要求削减资源不足的预算时,首席信息安全官应该从哪里下手呢?更具体地说,有没有一种方法可以使这些削减措施在经济重启后不会成为永久性的?首席安全官与顾问、供应商和首席信息安全官相互交流,得出了以下最佳建议:

1. 找到技术上的重叠

在人、过程和技术的金三角中,首先要看技术——也就是企业已经拥有的软件。Cyxtera联邦集团总裁兼首席信息安全官Leo Taddeo指出,“应找出在哪些地方可以通过创新来提高效率。”由于很多技术供应商都在不断地增加新功能,因此现在可能会在技术上有一些重叠,而这在初次使用时还不存在。以当前的端点保护套件为例,Taddeo指出,它可能还提供了重要的防病毒保护功能,“如果首席安全官认识到这两方面都产生了成本,那么在此就可以节省成本。”

与其他部门合作,看看他们使用了什么技术。识别影子IT一直是个难题,所以应从熟知的系统开始,尤其是那些应用非常广泛的系统。Taddeo说:“在现有的平台上,比如Windows 10,就已经具备了一些功能,首席信息安全官可以简单地打开一项安全功能来降低风险。”

无论在哪里找到这些功能,消除工具冗余都是一种节约成本的措施,即使在预算恢复正常后,你也可能会保持这种做法。正如零信任网络接入解决方案提供商Appgate Federal的总裁Greg Touhill所说,“首席安全官应始终注意把握机会,目的是更高效和更安全——不管是否有疫情。”

2. 重新谈判供应商合同

分析平台Sumo Logic的首席安全官George Gerchow认为,对于自己部门保留的工具,可以试着通过“与供应商重新接洽,以确保能得到最好的价格”来降低成本。他说,“现在,每家供应商都在竭力保护他们的客户群,因此,单点解决方案将不得不降低价格才能与套件解决方案相竞争”,这意味着套件解决方案可能会在许可费用上打折。

供应商ServiceNow的安全运营总经理Jeff Hausman建议,如果可以的话,安全部门应该从永久授权模式转向订阅模式,从而提高预算的灵活性。

Gerchow说:“对数据使用量进行收费的平台将不得不在按数据类型和搜索频率收费方面有所创新。”

服务提供商Bionic的首席执行官Mark Orlando也提出了类似的建议:“任何基于数据量或者其他可变指标的技术许可,都应该进行缩减。应寻找降低许可成本的方法,可以通过减少不可操作或者已过时的数据源来实现——至少要整合或者共同确认支持合同,以找到技术重叠,这样就可以要求减免付款。”

如果供应商不愿意谈判,Hausman和Gerchow都建议过渡到开源替代方案。

3. 利用技术降低与人员相关的成本

在当今环境下,与削减预算相关的诸多困难也有其积极的一面。Hausman说:“这是一个很好的时机来实现某些枯燥的安全操作的自动化。”比如那些太耗部门时间的所有手工工作。如果首席执行官愿意花一点小钱来省一大笔钱,那这也许就是你的机会,让你有理由购买一直想要的自动化工具。Hausman说:“任务自动化和流程编排是很容易实现的。”

Hausman建议首席信息安全官应用80/20规则,这是一种商业理论,也被称为帕累托原则(Pareto Principle),即80%的结果来自于20%的努力。Hausman建议反思一下:“你的部门最花时间的前五项工作是什么?”这些工作是否符合企业和部门的目标?他解释说:“货架式工作流程能够安全地处理某些工作,例如,数据收集、优先级排序,以及事件整合和补救措施分配等。”

这条建议可能对实现零信任网络尤其有用,Touhill评论说,例如,在软件定义周界防护方面的创新不但推进了战略发展,“同时帮助削减了运营成本,因为这样便能够淘汰老旧的人力密集型技术,如虚拟专网(虚拟专用网络)和网络访问控制(NAC)系统”——这是一个有趣的想法,因为Pulse数据显示,虚拟专用网络可能是36%的网络安全部门今年5月份都要上的“新预算项目”。

高管们现在可能不想看到有任何类型的支出,但如果他们对创造性思维持开放态度,那么可以尝试通过人力资源部门为空缺的安全职位提供资金支持,说服他们采购能够减少部门工作量的软件。有些工具可能很昂贵,但要想一想企业的总成本是大于还是低于新员工的工资加福利?另外,这条建议还可以帮助你树立一个先例——在预算恢复后购买一直想要的其他技术。

4. 裁员务必谨慎

你要的是削减预算,然而意想不到的是,裁员帮你做到了——6月份的失业数据显示,在疫情期间,有3000多万美国人失业。在网络安全领域,6月份的Pulse调查显示,48%的数据安全部门在4月和5月份“因为新冠病毒而减少了员工人数”,40%的部门计划在11月之前继续裁员。

Bionic公司的Orlando说:“失去技术能力很强的团队成员将对部门士气产生持久影响,也不利于未来的招聘工作,因此,对于希望在危机过后保持某种能力不变的安全部门领导来说,裁员应该是万般无奈的最后选择。”

疫情导致的经济危机终将会过去。当员工们急于处理健康问题、托儿问题,还担心下一步可能被解雇的时候,如果此时还让他们加班,这其实并不能培养员工的忠诚度。正如Touhill所指出的,人员、培训和许可费用占用了大部分安全预算。现在对你有意见的员工很可能会在疫情危机之后辞职,这会增加接替员工相关的人员和培训成本。请记住,我们的目标是在不损害未来安全的前提下,现在就想办法削减预算。

5. 不管怎样,牢记自己的目标

回到Hausman的讲话,安全领导人时刻牢记自己的目标是非常重要的。Orlando说,不管什么时候决定裁员,总的策略是一样的:“把安全部门的任务进行细分,确定你能承受哪些损失,而仍然可以完成工作。”说到底,把这一指导策略坚持下去就会知道,什么应该削减,什么不应该削减。