【51CTO.com快譯】面對(duì)COVID-19等危機(jī)事件，很多企業(yè)不得不削減預(yù)算，這可能會(huì)對(duì)安全性產(chǎn)生長(zhǎng)期負(fù)面影響。本文將給大家介紹五個(gè)削減成本，并保證安全性的方法。

長(zhǎng)期以來，信息安全一直以人手不足和資金不足而著稱。COVID-19疫情爆發(fā)以來，當(dāng)前經(jīng)濟(jì)進(jìn)入低迷時(shí)期，壓力變得更大。6月4日，研究公司Pulse報(bào)告顯示，目前凍結(jié)了23%的安全預(yù)算，減少了49%。

因此，當(dāng)CEO要求您削減已經(jīng)資源不足的預(yù)算時(shí)，CISO應(yīng)該從哪里開始呢?更具體地說，是否有一種方法可以使這些削減在經(jīng)濟(jì)衰退結(jié)束后不會(huì)消失?以下五個(gè)技巧，供CSO、安全顧問、供應(yīng)商和CISO參考：

[[334876]]

1.識(shí)別技術(shù)重疊

在人員、流程和技術(shù)的金三角中，首先要研究技術(shù)，即公司已經(jīng)擁有的軟件。

Cyxtera Federal Group總裁兼CISO Leo Taddeo說：“尋找創(chuàng)新可以提高效率的領(lǐng)域。”由于許多技術(shù)供應(yīng)商都在不斷添加新功能，因此在入門時(shí)可能尚不存在重疊。

Taddeo表示，以您當(dāng)前的端點(diǎn)保護(hù)套件為例，它還可能提供重要的防病毒保護(hù)，并補(bǔ)充說：“如果CSO為這兩者都產(chǎn)生成本，那么這就是節(jié)省成本的領(lǐng)域。”

與其他部門合作，看看他們使用什么技術(shù)。識(shí)別影子IT一直很困難，因此從已知的系統(tǒng)開始，尤其是使用更廣泛的系統(tǒng)。Taddeo說：“現(xiàn)有平臺(tái)(例如Windows 10)中也可能存在一些功能，這些功能使CISO只需打開安全功能即可減輕風(fēng)險(xiǎn)。”

無論您在哪里找到，消除工具冗余都是一種節(jié)省成本的措施，即使預(yù)算恢復(fù)正常后，您也可能希望保留這種冗余。正如零信任網(wǎng)絡(luò)訪問解決方案提供商Appgate Federal總裁Greg Touhill所說：“公民社會(huì)組織應(yīng)該一直在尋找更有效和更安全的機(jī)會(huì)，不管是否發(fā)生疫情。”

2.重新協(xié)商供應(yīng)商合同

Sumo Logic公司CSO喬治·格肖夫(George Gerchow)表示，對(duì)于部門保留的工具，請(qǐng)嘗試通過“與供應(yīng)商重新接觸以確保獲得合理價(jià)格”來消除成本。他說：“目前，每個(gè)供應(yīng)商都在拼命保護(hù)自己的客戶群。因此，點(diǎn)解決方案必須降低價(jià)格才能與套件解決方案競(jìng)爭(zhēng)。”這意味著套件解決方案可能會(huì)給許可證打折。

供應(yīng)商ServiceNow的安全運(yùn)營(yíng)總經(jīng)理Jeff Hausman建議，如果可能的話，團(tuán)隊(duì)?wèi)?yīng)從一直許可轉(zhuǎn)向訂閱模式，以提供預(yù)算靈活性。

Gerchow說：“按數(shù)據(jù)使用量收費(fèi)的平臺(tái)必須在按數(shù)據(jù)類型和搜索頻率收費(fèi)方面具有創(chuàng)意。”

服務(wù)提供商Bionic的CEO Mark Orlando提供了類似的建議：“縮減基于數(shù)據(jù)量或其他可變指標(biāo)的任何技術(shù)許可。尋找方法，通過減少無法采取行動(dòng)或變得過時(shí)的數(shù)據(jù)饋送，來減少許可費(fèi)用，或者至少合并并共同確定這些支持合同以發(fā)現(xiàn)重疊，并獲得暫時(shí)的付款減免。”

如果供應(yīng)商不愿談判，則Hausman和Gerchow都建議過渡到開源替代方案。

3.使用技術(shù)降低與人相關(guān)的成本

在當(dāng)今的環(huán)境中，與削減預(yù)算相關(guān)的許多困難中，可能會(huì)有一個(gè)積極的方面。 Hausman說：“這是使安全操作自動(dòng)化的好時(shí)機(jī)。”所有花費(fèi)您團(tuán)隊(duì)大量時(shí)間的體力勞動(dòng)?好吧，如果您的CEO愿意花一點(diǎn)錢以節(jié)省很多錢，那么這可能就是您的改變，讓您有理由購(gòu)買一直想要的自動(dòng)化工具。

假如在實(shí)現(xiàn)任務(wù)自動(dòng)化和流程編排方面進(jìn)展不大，Hausman建議CISO應(yīng)用80/20規(guī)則，這是一種商業(yè)理論，也稱為帕累托原則，其中指出80%的結(jié)果僅來自20%的努力。

“您的團(tuán)隊(duì)度過時(shí)光的前五種方式是什么?這些活動(dòng)是否符合公司和部門的目標(biāo)?”Hausman解釋說：“現(xiàn)成的工作流程可以安全地處理特定領(lǐng)域，例如數(shù)據(jù)收集，優(yōu)先級(jí)劃分，事件合并和補(bǔ)救分配。”

Touhill表示，該技巧對(duì)實(shí)現(xiàn)零信任可能特別有用。例如：軟件定義的邊界領(lǐng)域的新創(chuàng)新可以在“降低成本的同時(shí)推動(dòng)戰(zhàn)略發(fā)展，同時(shí)幫助您淘汰老年人等人力密集型技術(shù)，例如虛擬技術(shù)、專用網(wǎng)絡(luò)和網(wǎng)絡(luò)訪問控制(NAC)系統(tǒng)”。據(jù)Pulse調(diào)查數(shù)據(jù)顯示，虛擬專用網(wǎng)絡(luò)是5月36%的網(wǎng)絡(luò)安全團(tuán)隊(duì)最常使用的“新預(yù)算項(xiàng)目”時(shí)，一個(gè)有趣的想法。

高層管理人員現(xiàn)在可能不想看到任何類型的支出，但是如果老板愿意接受創(chuàng)新思維，請(qǐng)嘗試通過為減少部門工作量的軟件辯護(hù)，從而利用人力資源來資助任何開放的安全職位。有些工具可能很昂貴，但是公司的總成本是比薪水加上新員工的福利多還是少?另外，本技巧還可以幫助您在預(yù)算恢復(fù)時(shí)為購(gòu)買其他愿望清單技術(shù)樹立先例。

4.裁員要謹(jǐn)慎

如果您想削減預(yù)算，那么不幸的是裁員可以做到。6月份的失業(yè)數(shù)據(jù)顯示，有超過3000萬美國(guó)人失業(yè)。在網(wǎng)絡(luò)安全方面，6月Pulse調(diào)查顯示，在4月或5月期間，有48%的數(shù)據(jù)安全團(tuán)隊(duì)“因COVID-19而減少了人員”，而40%的計(jì)劃讓人們?cè)?1月之前離開。

Bionic的Orlando說：“失去熟練的團(tuán)隊(duì)成員，將持久影響團(tuán)隊(duì)的士氣，并阻礙未來的招募工作。因此，對(duì)于希望在危機(jī)過去后保持某種能力的安全高管，裁員應(yīng)該是遙不可及的最后選擇。”

某一天，COVID-19帶來的經(jīng)濟(jì)危機(jī)將結(jié)束。讓員工在處理健康問題、育兒?jiǎn)栴}，以及接下來可能會(huì)被解雇的擔(dān)憂中加班工作，并不能提高員工的忠誠(chéng)度。正如Touhill所指出的那樣，人員、培訓(xùn)和許可成本構(gòu)成了大多數(shù)安全預(yù)算的大部分?，F(xiàn)在討厭您的員工，很可能會(huì)在COVID-19之后辭職，從而增加了替換員工的人員​​和培訓(xùn)成本。請(qǐng)記住，目標(biāo)是找到在不損害未來安全性的前提下立即削減預(yù)算的方法。

5.不管怎樣，請(qǐng)牢記你的目標(biāo)

回到Hausman的講話，對(duì)于安全高管來說，始終保持目標(biāo)集中很重要。在確定裁員時(shí)，Orlando表示總體策略是相同的：“將安全團(tuán)隊(duì)章程分解到一個(gè)分子水平，決定您可以承受的損失并完成工作。” 歸根結(jié)底，堅(jiān)持該單一指導(dǎo)策略將告訴您應(yīng)該削減和不應(yīng)削減的內(nèi)容。

原文標(biāo)題：5 tips for cutting budgets in a crisis without hurting security

作者：Terena Bell

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】