官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
新春伊始,相信大家今年的企业安全预算都已落实,预算有多少,该如何分配,不同的企业有不同的策略和考量。随着近两年受新冠疫情、国际形式等影响,网络攻击越发多样、复杂,尤其是去年底爆发的log4漏洞,对各行各业造成的影响仍在持续;而在法规层面,去年《数据安全法》《个人信息保护法》等的相继出台,也将对安全预算起到指导作用。本期话题,将围绕现今复杂形势下的企业安全预算展开。
1.综合以上背景,今年的企业安全预算是否有所变化?由哪些因素导致了这些变化?对今年的安全工作会有哪些新影响?
2.在安全预算中,大家是更倾向于购买产品及服务,还是在招募、培养安全人员身上下功夫?亦或是直接将安全外包?这些在投入和回报上有何差异?
3.对于安全预算如何充分发挥最大的价值,大家有没有建设性意见?
(本文所有ID已做匿名处理)
1.综合以上背景,今年的企业安全预算是否有所变化?由哪些因素导致了这些变化?对今年的安全工作会有哪些新影响?
@晓晓
安全预算会适当增加,由于要增强监测能力与反应能力,更加适应当前复杂多变的网络大环境,影响后面的建设重点,不单单是零散的增加设备,而是呈体系化方向去建设。
@小志
在集团裁员和缩减成本的前提下安全预算缩减,并没有因为各个信息安全相关法律推出而增加预算 。
@迈向明天
我们公司的安全预算没有太大的变化,不过应该涨了些的,得益于公司对网络安全的重视程度吧,参加HVV之后吧,这几年的确感觉是越来也重视网络安全工作了,另外的确是有一些短板的地方要弥补,得花钱。我们的安全预算都是按项目走,但是没有单独的网络安全预算大盘子给你,基本上是和列到公司的信息系统运维费(成本费用)进行下达,能明确明年干那些项目的,就把预算给列支上,但是一般都是每年固定要开展的才能批,一般就是网络安全服务、运维之类的,额外开展的很少。
另外,买设备买产品属于资产的要报投资计划(投资费用),这个按照上一年度各种网络安全检查、风险分析后,从消减风险、提高可靠性方面考虑,的确是提了些安全设备的购置需求。要说变化的话,因为年年HVV和集团内部也要搞攻防演习的缘故,领导对这块都还蛮重视,毕竟被打进来了排名低数据也不好看,今年开始专门考虑了个网络安全服务的框架项目,把常见的网络安全服务工作都框进来,到时候根据实际情况灵活开展,节约流程,提高效率。
@浅草
今年的企业安全预算总体增加了一些,因为系统在不断增加,但同时考虑到降本增效,审批开始严格,同时着力点更关注紧急需求。
2.在安全预算中,大家是更倾向于购买产品及服务,还是在招募、培养安全人员身上下功夫?亦或是直接将安全外包?这些在投入和回报上有何差异?
@晓晓
都需要注重产品用来增强监测能力,服务可以增强内部资产评估、检查及响应力量,自有的安全人员可以极大限度的利用安全设备并打造适合自己企业的安全环境侧重发展,简单来说投入设备产品回报快,效益高,接入就可以使用。
@小志
基于第一个没有预算的前提,从现有人员和设备入手,加强培训,灵活利用操作系统策略 rom更新等巩固。
@迈向明天
产品及服务都有,费用来源不一样,服务的一般是走成本费用,设备的一般是走投资,价值效果也不一样,看缺哪块吧,该花钱的话都少不了的。签外委合同,使用外部安全运维力量还是蛮重要的,毕竟公司没有那么多人员、岗位,又要管那么多安全设备(还逐年增加),又有其他岗位职责工作,人不够就只能外委了,虽然具体运维工作可以不做了,但是领导说你工作可以外委了,责任你外委不了,出了事一样担责,所以安全管理上的工作也少不了。
同时一些核心的运维还是不能交给外委人员来做,有一部分还是要自己承担的,而且外委人员队伍也存在不稳定因素,就算外委了自己还是要具备运维能力,该提高的也得提高。至于投入和回报差异就不好量化了,投入花了多少钱是知道的,但是回报这个就不少说了,目前也没有很少的评价体系。
@努力搬砖
在安全预算中初创阶段或者快速发展期,可能更倾向于利用市场成熟的产品及服务团队,毕竟见效快;长久而言或者规模企业,可能还是需要考虑成本收益比,自建团队和产品自研崩口。
3.对于安全预算如何充分发挥最大的价值,大家有没有建设性意见?
@晓晓
在建设时应该有规划进行,分析企业内部的安全情况,来针对性、阶段性的完成建设,一步一步打造适应企业真实安全情况的安全体系,从整体合规、意识、监控、边界等等多方面去考虑,而不是单纯怼设备,这样才能最大限度发挥预算所带来的价值,个人拙见。
@小志
在问题2的前提下寻找开源软件组合使用,打组合拳可以实现商业软的部分功能,比如nessus professional收费的前提下用openvas+nikito。
@迈向明天
我们这两年预算和投资管理严格了起来,以前是你报了预算给你也留了,你不花也就不花了,投资也差不多,没花钱没事不怎么管你,现在不行了,每月例行召开预算管理会议,质问你为什么不花?每个月形象进度和计划的不一致为什么?各种考核。倒逼你把预算和投资上列的项目都认认真真考虑好,到底能不能干,什么时候干,怎么干,不能在随意了。
这一点上我觉得公司财务、投资管理部门对预算、投资的考核还是有效果的。钱给你了,花好,对公司有价值才行。还有就像2里回答的,安全预算要细化到具体项目或工作上,不能说给你明年整体XX万的预算,你要干什么都从里面出就行,那管理就太粗放了,也不利于工作开展。另外,安全预算的使用流程上要在合法合规的基础上简单、高效,别一个费用申请一两个月下不来,事都黄了,就怕耽误在繁杂的流程上。
本期精彩观点到此结束啦~此外,FreeBuf会定期开展不同的精彩话题讨论,想了解更多话题和观点,快来扫码申请加入FreeBuf甲方群,小助手周周送福利,获取最新行业秘籍,还不赶快行动?
申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入会员俱乐部
如有疑问,也可扫码添加小助手微信哦!