数据观澜网络安全
快捷导航
您的位置:首页>电脑教程>>首席信息安全官充分利用安全预算的四个技巧 >

首席信息安全官充分利用安全预算的四个技巧

  发布时间:2025-12-07 14:49:50   作者:玩站小弟   我要评论
尽管新闻头条频繁描述全球大规模数据泄露事件,但首席信息安全官 (CISO) 仍然难以向最高领导层证明安全投资的合理性。据Gartner称,安全支出仅占IT总资金的5.6%左右。无论企业领导层最终批准多 。

尽管新闻头条频繁描述全球大规模数据泄露事件 ,首席算但首席信息安全官 (CISO) 仍然难以向最高领导层证明安全投资的信息合理性 。据Gartner称 ,安全安全支出仅占IT总资金的官充个技5.6%左右 。

无论企业领导层最终批准多少安全预算,分利都需要 CISO 来优化资金分配 。用安更多的全预巧资金可能会有所帮助,但前提是首席算他们知道如何有效地使用资金——并且在第一次推介之前就开始计划  。让我们仔细看看安全领导者可以采取的信息四个关键步骤,以最大限度地提高安全投资回报。安全

1. 评估风险 、官充个技资产和资源

CISO 应首先彻底评估组织中既有价值又存在潜在风险的服务器租用分利系统、数据和其他业务资产  。用安如今,全预巧这构成了一个不断发展的首席算网络,优先级将随着时间的推移而变化,以反映业务和威胁形势的变化。

Absolute 技术风险管理和数据隐私总监 Jo-Ann Smith 表示:“应该首先识别并记录最需要保护的资产 。什么对业务很重要 ?系统和数据面临的主要威胁是什么 ?”

在您踏入行政办公室或董事会会议室以倡导安全之前 ,就需要进行这种评估 。其调查结果将为安全计划的免费模板目标和预算建议奠定基础  。购买的技术及其所服务的需求对于每个企业来说都是独特的。

换句话说,初步审查的结果对于不同的 CISO 可能意味着许多不同的事情 。行业框架提供的通用模型可以帮助安全领导者确定优先事项并确定特定于其业务的差距。

Cyber Risk Opportunities 首席执行官 Kip Boyle 指出 ,美国国家标准与技术研究院 (NIST) 网络安全框架 (CSF)是云计算评估网络风险的最佳方法  。

他说 :“我们发现,大多数公司在与供应商和客户签订的赔偿合同条款、反网络钓鱼培训 、网络保险和危机管理规划等关键缓解措施方面投资不足 。然而 ,这些对于减轻现代网络威胁都至关重要 。”

2.使安全预算与业务目标保持一致

在向高管和董事会董事展示安全投资回报时,安全领导者必须讲金钱的语言  。安全如何为企业服务 ?

Carbonite 首席信息安全官拉里·弗里德曼 (Larry Friedman) 表示 :“在评估如何支出时,首席信息安全官应始终与业务保持一致 。安全支出应根据与确保重要业务流程连续性相关的风险来计算。模板下载

这超出了保护数据和维护法规遵从性的范围 。寻找机会使用安全资金不仅可以缓解风险  ,还可以增加收入并实现其他业务胜利 ,例如提高生产力 ,有助于 CISO 将安全定位为动态业务推动者,而不是静态成本中心。

CISO 应实施自动化安全情报和分析工具 ,以减少安全团队的繁忙工作,并帮助其专注于更具战略性的项目。当您分析投资机会时 ,不仅要考虑它们的成本,建站模板还要考虑它们可以为公司节省多少或增加价值 。

3. 雇用和培训优秀人才

经常令人遗憾的网络安全技能差距几乎没有缩小的迹象。国际信息系统安全认证联盟 (ISC2)最近的一份报告显示 ,全球网络安全技能缺口近 300 万个职位空缺 ,约三分之二的企业认为他们的安全团队人员不足 。

毫无疑问 ,对安全计划的最佳投资之一就是拥有高效的员工 。然而,源码下载在雇主寻求人才的紧张市场中,组织可能必须向内看并投资于培训员工 ,否则他们可能不会考虑从事安全职业  。

通过培训已经属于组织的人员并招募他们从事安全工作,CISO 可以提供职业发展机会并建立安全团队 ,同时利用员工的机构知识。

4. 投资安全文化

有效的网络安全策略必须包括每位员工都重视安全的企业文化 。但信息系统审计与控制协会(ISACA)和能力成熟度模型集成(CMMI)研究所的《2018年网络安全文化报告》发现 ,大多数组织仍在努力建立安全文化。此外  ,95% 的受访者指出他们当前的网络安全组织文化与理想的网络安全组织文化之间存在差距。

将安全文化融入企业意味着什么?这意味着让所有员工(从安全团队到高管团队)感受到对公司安全和风险状况的投入 ,并采取安全行为。对安全文化的投资可以包括意识培训 、安全开发生命周期计划以及对表现出合规性和报告事件的员工的奖励等举措 。

一些数字证明了这样做的好处 :根据 ISACA/CMMI 研究 ,报告安全文化不足的组织将其年度网络安全预算的 19% 用于培训和意识。拥有更强文化的公司平均花费的份额是其两倍多(43%) 。

ROCeteer 首席技术官 (CTO) Heather Wilde 在ISACA博客文章中介绍了研究结果 ,指出安全文化投资的好处不仅仅限于安全。大多数受访者 (66%) 表示,他们的组织经历了网络事件的减少,但王尔德指出,许多其他好处是面向客户的:提高信任 、增强声誉和增加收入等等 。

如何最好地分配安全预算的问题没有简单的答案,而且最佳方案因企业而异。但是,对公司当前安全态势和文化的全面评估 ,以及对安全如何有利于业务目标和实现公司使命的评估 ,可以为 CISO 提供优先投资的路线图。

  • Tag:

相关文章

  • 为什么网络安全是ESG框架的重要组成部分

    随着越来越多的企业采用ESG框架,发现网络安全必须成为其战略的重要组成部分。例如,ESG框架通常要求企业报告其劳动实践,包括员工多样性、薪酬公平和工作条件。收集和报告这些数据要求企业存储有关员工的敏感
    2025-12-07

  • H2Miner 僵尸网络攻击 Linux、Windows 及容器设备进行门罗币挖矿

    首次发现于2019年末的H2Miner僵尸网络近期卷土重来,其攻击手段已突破加密货币劫持与勒索软件的界限。最新攻击活动利用廉价虚拟专用服务器(VPS)和多种常见恶意软件,同时入侵Linux主机、Win
    2025-12-07

  • 戴尔科技CyberSense帮助客户在威胁环境中最大的减少损失

    在这个世界上没有什么能比在海边度假时接到老板电话更糟糕的事情了如果还有的话那就是你还不能怪老板因为狡猾的黑客正在让你的假日旅行计划泡汤的可能性大大增加...他们窃取资产,加密数据让企业蒙受损失现在,臭
    2025-12-07

  • 警惕自信鸿沟:CISO与员工在安全态势认知上存在分歧

    CISO及其安全指挥链似乎对其所在企业的网络安全成熟度和韧性存在显著分歧。根据BitDefender近期发布的一份报告,随着攻击面不断扩大,CISO对其所在企业管理风险的能力比中级安全管理人员更有信心
    2025-12-07

  • 从传统服务链监控到端到端流程监控技术实现

    今天谈下服务链监控和端到端流程监控。对于服务链监控有开源的类似zipkin,skywalking开源工具可以实现完整的服务链监控功能,但是采用这些工具的一般都需要在JVM启动的时候注入探针Jar包,进
    2025-12-07

  • 网络安全漏洞暴露快速修复的五大措施

    假设一家中型律师事务所在其队列中发现了一封网络钓鱼邮件。作为回应,该公司的多层防御系统立即启动。该公司现有的网络安全能力迅速将这封网络钓鱼邮件标记为可疑邮件,并在攻击升级为全面事件之前将其阻止。威胁在
    2025-12-07

最新评论