企業(yè)已制定的業(yè)務(wù)計劃可能會因很多原因而出問題-企業(yè)戰(zhàn)略或競爭變化、法規(guī)變化或因疫情導(dǎo)致全球工作流程變化。但是，無論是否存在不可控制的因素，Gartner和Forrester公司的分析師都認(rèn)為，企業(yè)有可能制定成功的網(wǎng)絡(luò)安全預(yù)算。

[[347723]]

Gartner公司首席研究分析師Sam Olyaei在2020年Gartner安全與風(fēng)險管理峰會上表示，今年的疫情導(dǎo)致攻擊增加、政府指令變更、供應(yīng)鏈中斷以及社會影響(例如轉(zhuǎn)移到遠(yuǎn)程辦公)后，從而影響網(wǎng)絡(luò)安全支出計劃的時間表。

Olyaei說：“成本優(yōu)化不僅僅是降低成本，成本優(yōu)化可能意味著合同談判、業(yè)務(wù)價值優(yōu)化、提高效率……或者很可能意味著你必須重新分配資源或?qū)ふ姨娲桨竵韺崿F(xiàn)同一目標(biāo)。”

IT經(jīng)理首先需要了解優(yōu)化預(yù)算的最佳方法，這主要取決于業(yè)務(wù)狀況-企業(yè)是否要削減開支、保持不變或增長。在不同情況下，成本優(yōu)化可能意味著與供應(yīng)商協(xié)商最佳交易、重新分配支出或確保預(yù)算用于正確的資源。

中斷的影響

Olyaei認(rèn)為，無法預(yù)料的危機(jī)或疫情可能引發(fā)網(wǎng)絡(luò)安全預(yù)算的變化，但這種反應(yīng)通常遵循典型的模式。首先是響應(yīng)階段，該階段的重點是確?；痉?wù)繼續(xù)運(yùn)行，這包括遠(yuǎn)程訪問和控制服務(wù)，并在必要時削減成本。

第二個是恢復(fù)階段，主要集中在制定成本優(yōu)化策略，以及對比成本管理當(dāng)前風(fēng)險。

最后是更新階段，該階段著眼于將來的產(chǎn)品和服務(wù)，這些產(chǎn)品和服務(wù)可以幫助企業(yè)變得更有效率和更優(yōu)化。

Forrester公司高級分析師Paul McKay在2020年Forrester安全與風(fēng)險會議上表示，企業(yè)通常會在疫情等極端情況下尋找削減成本的方法，在確定削減多少成本方面，企業(yè)可分類三類：

在疫情中受災(zāi)最嚴(yán)重的公司(例如旅游業(yè)和休閑業(yè))可能處于生存模式，他們需要盡一切可能使成本最小化。

而以“自適應(yīng)模式”運(yùn)營的公司會有些中斷，但是情況并不是特別嚴(yán)重，他們的重點是要靈活地適應(yīng)客戶的需求。速度和靈活性是這些企業(yè)的關(guān)鍵，因此他們可能需要采用新的軟件或服務(wù)才能達(dá)到新的標(biāo)準(zhǔn)。

在某些情況下，有些公司處于增長模式。在這些企業(yè)中，他們看到對服務(wù)或產(chǎn)品的需求不斷增長，并且需要擴(kuò)大規(guī)模來滿足該需求。在這種情況下，安全支出可能會增加。

創(chuàng)建靈活的預(yù)算計劃

雖然無法提前知道中斷的影響，但管理人員仍然可以為任何可能的情況制定計劃，同時將網(wǎng)絡(luò)安全作為預(yù)算重點。

Gartner公司研究與開發(fā)副總裁Thomas Scholtz在Gartner安全與風(fēng)險管理峰會上說，無論是影響網(wǎng)絡(luò)安全預(yù)算的外部危機(jī)還是領(lǐng)導(dǎo)層的決策，IT領(lǐng)導(dǎo)者都需要做好準(zhǔn)備。

Scholtz說：“我們需要找到方法來理解企業(yè)領(lǐng)導(dǎo)者如何做出投資決策或改變組織決策。然后，只要在企業(yè)或業(yè)務(wù)環(huán)境中發(fā)生這些變化，我們就可以盡可能有效地做出反應(yīng)。”

在安全決策方面，主要因素往往包括保護(hù)知識產(chǎn)權(quán)或數(shù)據(jù)資源、維護(hù)品牌聲譽(yù)和信任、遵守法規(guī)要求、維護(hù)物理安全或保護(hù)創(chuàng)收業(yè)務(wù)。

Gartner公司的Olyaei建議IT主管根據(jù)以下內(nèi)容使用數(shù)據(jù)驅(qū)動的決策流程來確定優(yōu)先級列表：

聽取財報電話會議，以了解高管領(lǐng)導(dǎo)公司的方向;

分析IT數(shù)據(jù)以確保每個環(huán)境都有適當(dāng)數(shù)量的員工;

執(zhí)行風(fēng)險評估、控制部署評估以及流程成熟度評估;

對于數(shù)據(jù)驅(qū)動安全策略，IT領(lǐng)導(dǎo)者可以向董事會提出決策，并提供詳細(xì)的理由來說明其決策的必要性，以及為何對公司而言是最佳舉措。

Olyaei還指出，預(yù)算必須“具有適應(yīng)性并切合實際”，因此IT團(tuán)隊?wèi)?yīng)制定預(yù)算計劃以應(yīng)對任何可能的情況。

網(wǎng)絡(luò)安全預(yù)算計劃的一部分涉及了解每個安全投資的風(fēng)險隱患。例如，如果低風(fēng)險業(yè)務(wù)部分有大量的安全投資，則應(yīng)將部分安全預(yù)算轉(zhuǎn)移到需要更多保護(hù)的業(yè)務(wù)部門。

Scholtz說：“當(dāng)你了解了業(yè)務(wù)價值，你就可以開始做出權(quán)衡決策。在低價值地區(qū)花太多錢會有機(jī)會成本。”

與供應(yīng)商談判以獲得更好的合約

制定成功的網(wǎng)絡(luò)安全預(yù)算還要求供應(yīng)商不要增加任何不可預(yù)見的成本。同樣，在與供應(yīng)商談判之前，需要進(jìn)行有效的準(zhǔn)備和研究。

Forrester公司McKay說，安全軟件的談判過程通常分為準(zhǔn)備階段、實際談判本身以及在簽訂合同并部署產(chǎn)品或服務(wù)后對供應(yīng)商進(jìn)行的持續(xù)性能評估。

McKay主張與同行、分析師和外部采購專家交談，以在準(zhǔn)備談判時了解市場、定價動態(tài)和業(yè)務(wù)需求。

McKay說：“有時候，與核心產(chǎn)品相比，供應(yīng)商更愿意在部署服務(wù)方面提供商折扣。與此類似，渠道合作伙伴可以添加其他服務(wù)，并有能力獲得更高的折扣率，而賣方自己可以提供服務(wù)。”

McKay補(bǔ)充說，最好在談判初期就檢查合同條款，因為合同條款有時會“非常繁瑣，以至于使購買經(jīng)驗變得相當(dāng)困難”。

在談判中，IT經(jīng)理就需要意識到可能表明機(jī)會或危險信號的短語。McKay說，如果供應(yīng)商使用“白金客戶”一詞，這可能是一個好兆頭，并表明該交易對該供應(yīng)商的重要性。另一方面，如果銷售人員要求企業(yè)成為“參考客戶”或“大客戶”，則可能表明該供應(yīng)商還沒有其他客戶。

McKay建議與供應(yīng)商談判以壓低價格，并詢問在談判合同時是否包括支持服務(wù)或折扣。

McKay說：“安全軟件供應(yīng)商在軟件基準(zhǔn)和合同靈活性方面可能會有些固化。如果他們不愿意讓步，那就準(zhǔn)備離開。”