事实表明,机构的网络安全支出不断增加,资金将会流向何方?调研机构最近进行的调查将让人们对未来一年首席信息安全官的支出有了更深入的了解。
预计2022年,机构在网络安全方面的支出将保持稳定增长。调查表明,几乎所有首席信息安全官都认为,2022年将会增加网络安全支出。
近7成机构将增加网络安全支出
《2021年安全优先事项研究》调查报告显示,44%的安全领导者预计,网络安全支出将在2022年增加。54%的受访者表示未来一年的支出将保持不变。只有2%的受访者表示支出将会减少。
其他研究也发现了类似的趋势。普华永道公司发布的《2022年全球数字信任洞察》调查报告中指出,“投资将继续涌入网络安全行业。69%的受访者预测,所在的组织2022年的网络支出将会增加。有些人甚至预计支出将会激增,26%的受访预计2022年的网络支出将激增10%或更高。”
与此同时,科技研究和咨询机构Gartner公司预计,2022年全球信息安全和风险管理的支出总额将达到1720亿美元,高于2021年的1550亿美元。
网络安全支出稳定增长,但首席信息安全官对支出事项的审查更加谨慎。一些安全领导者和执行顾问表示,安全部门必须继续证明他们的支出创造的价值,需要让他们的安全运营更加成熟,并最终改善组织的安全状况。
普华永道公司网络与隐私创新研究所所长Joe Nocera表示:“很多组织知道风险每天都在增加。大量投资继续涌入网络安全领域。我们从商界领袖那里了解到,他们愿意不惜一切代价阻止黑客攻击,但他们希望确保支出用在正确的领域。这需要组织首席执行官和首席信息官的共同努力。首席信息官需要知道什么是优先和正确的保护级别。”
他补充道:“网络安全投资越来越少关注技术供应商提供的最新产品,而更多的是了解业务最脆弱的地方,然后根据发生网络攻击的可能性以及损失对业务影响的严重程度来确定投资的优先级。”
推动网络安全预算的趋势有哪些?
EPAM Systems公司首席信息安全官Sam Rehman表示,2022年的网络安全支出反映了组织高管和董事会成员对网络安全计划的兴趣不断增加。
普华永道在报告中指出,“很多组织知道风险正在增加。50%以上的受访者预计,2022年报告的网络安全事件的数量将超过2021年。”
网络攻击增长是许多组织增加安全支出的因素之一。Rehman表示,组织高管也看到了数据泄露事件的重大影响。以及在匿名加密货币时代,网络攻击轻松获利,令网络攻击者保持强烈的动机。
他说:“这些因素让网络安全状态变得更糟。”
作为回应,组织领导者现在想知道如何更好保护业务和数据,并且可以充分应对网络攻击。他们需要安全保护和业务弹性。他们也了解到,没有100%的安全性,但强大防御措施可以赢得一些时间:在造成重大损害之前,有时间进行检测、响应和恢复。
Nocera补充说,“大多数组织将大幅增加支出,以保护自己和客户免受网络攻击。”
与此同时,安全领导者除了面临董事会的质问之外,还感受到来自外部的压力,需要交付安全成果。他们从客户、业务合作伙伴和监管机构那里了解到,安全也是他们最关心的问题。
KLC咨询公司总裁Kyle H.Lai也是三个中小型公司的首席信息安全官,他指出,美国政府在2021年5月发布的行政命令是影响网络安全支出的另一因素。他还指出,越来越多的联邦和州政府颁布的消费者数据隐私法案和其他立法,促使首席信息安全官投入更多资金。
监管和立法行动对机构带来安全合规压力,因为必须满足这些要求,尤其是与美国联邦政府或美国国防部合作的公司。”
一些调查结果支持了他的观点。
根据安全媒体CSO《安全优先级研究报告》,49%的受访者将最佳实践作为其安全支出的决定性因素;49%的受访者将合规性、隐私性法规或要求作为决定性因素。
其次是应对员工工作方式或业务变化带来的风险——尤其是混合工作和远程工作(41%);解决数字化转型带来的风险,例如将业迁移到云端(38%);对组织内部署发生的安全事件做出回应(35%);以及应对另一个组织发生的安全事件(25%)。
这些因素都与首席信息安全官在未来几个月的支出相关。
支出优先事项
CSO公司的调查表明,安全支出分布在多个领域,其中20%分配给内部部署基础设施和硬件,19%分配给技术人员,16%分配给本地工具和软件——所有这些都为组织提供安全服务提供了基础。
紧随其后的还有基于云的安全解决方案(10%)、咨询服务(7%)、基于云的安全监控服务(7%)、安全意识培训(7%)、签约评估服务(6%)和外部事件响应服务(5%)。
Gartner公司对信息安全和风险管理支出的最新预测说明了支出的资金流向:2022年将有近770亿美元用于安全服务,使其成为迄今为止最大的支出类别;300亿美元将用于基础设施保护;190亿美元用于网络安全设备;170亿美元用于身份和访问管理。
其他获得大量支出的领域还包括应用安全(66亿美元)、集成风险管理(64亿美元)、数据安全(40亿美元)、软件(27亿美元)和云安全(14亿美元)。
Gartner公司新兴技术和趋势高级总监分析师Shawn Eftink表示,首席信息安全官的支出可分为四大领域。
第一个支持与位置无关的安全,这将推动开发视身份为需要保护边界的网络安全方案。
第二个支持企业安全部门的发展。Eftink表示,随着企业董事会纳入具有网络安全经验的董事会成员,安全部门正面临越来越严格的审查。这些董事会成员希望看到提高安全效率和技术更加成熟,而降低安全产品的复杂性是实现这些期望的关键。
第三个领域是不断发展的技术;组织在新兴和成熟的安全技术上投入更多资金,例如漏洞和网络攻击模拟工具,以及保护其不断增长的云计算环境所需的技术。
第四个领域是外包,支出可以帮助他们提高安全运营效率,并应对内部人员配备挑战。
其他安全领导者也有类似的观点。他们表示,首席信息安全官正在投资访问和身份管理软件、基于角色的访问控制(RBAC)、用户行为分析和微分段等身份验证技术,以支持其成熟的零信任架构。首席信息安全官正在云安全解决方案加大支出。他们正在购买自动化和分析技术,以更有效和高效地处理海量安全数据。他们正在聘请托管安全服务提供商(MSSP)来加强自己员工的工作。
Nocera说,“身份和访问管理、第三方风险管理、实时智能和零信任都是安全投资的重要领域。”
安全支出更加明智
在普华永道公司进行的第24届全球首席执行官年度调查中,首席执行官们将网络威胁列为商业前景的第二大风险,仅次于新冠疫情和其他健康危机。北美和西欧地区的首席执行官们把网络安全列为第一位。
但与此同时,专家表示,首席执行官对于首席信息安全官的支出要求更加谨慎。而首席信息安全官们估计的2022年支出反映了这一事实。这有着充分的理由。
Eftink说,“增加支出并不一定等同于提高安全感。”
事实上,首席信息安全官可以预测支出增长,他们将在预算增加或增加得很少的情况下变得更有效。要做到这一点,他们将不得不继续提高安全性,并从一开始就将其嵌入到为业务提供动力的运营流程和数字产品中,将安全性融入组织结构中。
Eftink说,“现在需要的是思维的转变:安全必须是一个嵌入部分,它不能是事后的想法。因此必须发生范式转变。”
Nocera对他的说法表示认同。
他说,“当企业分配资金来解决这些问题时,他们还需要构建在组织范围内集成的系统,使网络安全成为每个人的工作,而不仅仅是首席信息安全官或IT团队的工作。最终,强大的网络安全系统可以在组织、利益相关者和消费者之间建立信任,并成为竞争优势。组织如今将加强安全系统而支出的成本应该被视为对未来商业模式的投资。”
来源:首席安全官网
版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/17308.html
