企业的CISO在准备2023年的安全预算时，总有些人会无从下手，总会反问自己“我应该从哪里开始？”。网络威胁的方式多种多样且瞬息万变，保护组织免受其扰，找出关键因素，明确最需要关注的风险，对于企业而言，这一任务迫在眉睫。

然而，安全领导者需要开始考虑他们的资金数额以及如何分配预算。

西门罗咨询公司网络安全总监 David Chaddock表示：“宏观层面上来说，在定义战略目标和制定安全预算时，首席信息安全官应该知道，现实问题让安全负责人面临困境——受限于维持目前的安全运营和一些新的安全措施。虽然一些成熟度较高的组织或遭受网络攻击的组织已经见识到了多变的网络威胁的危害，并为此做好准备。然而实际情况是，大多数组织虽然对安全的需求增加了，但是对于安全的预算仍停留在原地。”

影响明年安全预算的关键因素可能属于以下五类：

不断变化的威胁格局

经济趋势及其对黑客的影响

地缘政治事件，例如俄乌战争

不断变化的政府和其他法规指导

不断变化的网络保险要求

CISO需要持续关注这些因素，并且找出确保组织安全的最佳方法。

一、不断变化的威胁格局

网络安全威胁格局在不断变化，随着新型勒索软件威胁的出现，以及向云计算的持续发展以及劳动力模式的转变，变化的步伐似乎已经加快。许多公司的目标也在向数字业务转变。

Gartner高级研究总监Ruggero Contu表示：“数字化转型计划让整个攻击者可活动的攻击面扩大。CISO预算必须能满足来自外部风险的新要求，而原来的预算重点只是关注内部基础设施。”

Contu认为，暴露的漏洞（例如未修补的服务器和互联网连接设备中的开放端口）、云系统配置错误、泄露的关键信息（例如凭据）和受损资产（例如欺骗域和企业移动应用程序）是未来几年高频成为攻击目标领域的典型案例。

端点设备的快速增长，包括物联网 (IoT) 的增长，固有的安全风险也将影响支出。

Contu说：“制造、能源、运输和医疗保健领域的安全预算必须专注于保护受IoT系统漏洞影响的工业环境和系统，以及IT和运营技术 (OT) 的融合。”

二、经济趋势导致网络安全资源稀缺

经济趋势，尤其是通货膨胀，可能对网络安全支出以及黑客的行为产生重大影响。

咨询公司 Plante Moran的合伙人兼网络安全实践负责人Raj Patel表示，网络资源的稀缺加上通货膨胀将是未来12到18个月网络安全预算和支出增加的最重要因素。

“基本上，每个人听到的都是网络预算正在上升，问题是哪些类别正在上升？答案是安全团队人员配备和安全工具。”

Raj Patel还表示：“网络人才很难获得，公司为此要付出更高的工资。这使工资成本增加了至少 10% 到 15%。由于资源稀缺，有8 到 12 年经验的员工更少了。至于安全产品和服务的趋势，在过去四年中，管理网络风险的工具和技术明显改善了很多。”

此外，Chaddock认为，贫富差距及其带来的经济不确定性，将不可避免地导致黑客行为和其他可能破坏稳定的网络安全事件的增加。随着公司变得更加数字化，他们将越来越容易受到安全漏洞的影响。

三、增加安全风险的地缘政治事件

要说近今年的国际事件，也许最引人注目的是俄罗斯和乌克兰之间的战争，且可能会继续对网络安全和风险产生重大影响。

Contu说，对于某些行业影响尤其明显，例如政府和其他与国家关键基础设施有关的行业。

在Patel看来，当前的地缘政治事件也让黑客为国家服务，由国家资助。他们拥有深厚的技术技能，加上所需的资源就可以攻击美国和欧洲的关键基础设施和公司了。

West Monroe每季度收集来自收入超过5亿美元公司的250名C级高管的问卷调查，询问高管所在公司今年考虑采取哪些安全行动，结果显示，因为地缘政治和供应链不稳定，大多数高管 (60%) 表示，他们正在考虑增加支出或更加关注网络安全，因为网络战已成为获得竞争优势的越来越常用的手段之一。

Chaddock 认为，针对乌克兰而研发的国家级网络攻击工具也可以用作他途。大多数组织都没有得到充分的保护，容易遭受国家间的网络攻击，这意味着目前大多数安全计划已经落后，而且需要在运营资金之外进行大量投资，以‘保持正常运转’。”

四、不断变化的监管要求

在过去的几年里，监管要求一直在变化，包括处理数据隐私的法律。

遵守各种隐私法规和合同中的安全义务的成本正在上升。有些合同可能需要第三方审计师进行独立测试。由于通货膨胀和工资上涨，审计师和顾问也在提高费用。

Chaddock认为，组织应该专注于建立整体强大的安全网络，而不是只关注是否遵从法规。当一个组织真正安全时，实现和维护合规性的成本应该会降低。

不断发展的监管合规要求，特别是对于那些支持关键基础设施的组织意义重大。尽管需要为此付出较大的代价，且可能会影响日常的安全运营，但是如果对安全防护有益，也应该加大力度完成监管义务。

五、不断变化的网络保险要求和不断上涨的成本

在勒索软件等攻击广为人知之后，越来越多的组织开始购买或至少考虑购买网络保险计划。企业如果支付此类保险的费用超出了安全预算，CISO将需要考虑不断上升的覆盖成本和其他影响预算的因素。

Patel说：“真正的网络保险成本正在上涨，幅度约20%到25%，公司可以通过降低覆盖等级或增加免赔额来降低成本，那将意味着承担更多风险。一些保险公司会评估企业的网络安全级别来衡量保险费。企业安全等级越高，保险费用越低。”

Chaddock 说，公司应该将网络保险的成本包括在内，更重要的是与维护有效和安全的备份以及恢复能力的相关成本。

现在的勒索团伙攻击企业，利用勒索软件获取企业敏感信息，以“不给钱就公开”的方式进行勒索，这让许多组织陷入财务困境。

因此，如果企业具有安全的、弹性备份能力和恢复能力，那么受到攻击后的影响将小得多。不管有没有购买网络安全保险，这对于企业而言，都是莫大的竞争优势了。

参考来源：

https://www.csoonline.com/article/3666495/5-key-considerations-for-your-2023-cybersecurity-budget-planning.html