压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

從企業戰略和業務驅動力的角度看網絡安全，基于量化風險和基準測試評估網絡安全項目價值，將有助于企業正確實施和擴展零信任安全框架，圍繞安全整合復雜技術堆棧降低成本，并基于風險和預期損失的統計模型為安全預算賦予財務價值。

對于想要獲得董事會級別職位的CISO來說，必須知道如何使用網絡安全預算來幫助企業增加收入。

數字化轉型以網絡安全為核心

根據德勤的研究，2023年半數企業數字化轉型預算和實施都嚴重依賴網絡安全，并以其為核心元素：

資料來源：德勤 2023 年全球網絡安全未來調查

每個網絡安全供應商都知道，如果可以通過基準測試幫助客戶微調預算，那么客戶生命周期價值(CLV)——衡量客戶成功的最有價值指標之一——將得到最大化。這就是領先的網絡安全平臺供應商擁有內部支出基準的原因，這些基準可以提供給客戶和潛在客戶以構建業務案例。

企業安全主管往往需要使用供應商提供的基準來確定網絡安全和IT團隊在預算周期中尚未考慮的巨大差距。但是，沒有哪一套基準可以完美地應對具體業務的挑戰，安全主管可以將安全廠商提供的基準作為網絡安全預算和規劃的“護欄”和參考基準。

很多安全廠商都提供成熟可用的網絡安全基準，例如AT&T Cybersecurity、Boston Consulting Group、CSO Online、Cybersecurity Dive、Forrester Planning Guide 2023：Security and Risk和SANS。

Clutch最近還發布了一個有用的模板，展示了如何為小型企業制定網絡安全預算。

網絡安全支出基準

由于每個企業都面臨著一系列獨特的網絡安全挑戰，這些挑戰因其對銷售、支持和供應鏈網絡的依賴而變得更加復雜，因此不可能對所有行業都有一個單一的、明確的基準。以下指南反映了最新基準調查的共識以及對CISO、CIO和安全與風險管理(SRM)領導者進行的采訪。

用于網絡安全的IT預算百分比

2022年，企業網絡安全預算平均占IT總體預算的9.9%。科技、醫療和商業服務（包括保險）在網絡安全投資方面領先其他行業。令人擔憂的是，教育、零售和制造業在網絡安全方面的支出嚴重偏低。

來源：IANS&Artico，安全預算基準總結報告，2022年

所有行業的CISO都被要求“事半功倍”，這使得教育、零售、制造和運輸行業的預算編制過程尤其具有挑戰性。

基于云的軟件占網絡安全預算的20%-25%

與Gartner和IDC之前的研究一致，基于云的軟件支出通常占網絡安全預算的20%到25%。根據給定企業和行業的云成熟度，這個數字可能會高得多。

例如，在科技和醫療行業，受訪的CISO們表示，鑒于他們跨多個業務部門管理的技術堆棧復雜性，基于云的軟件支出可能占他們預算的40%。

來源：IANS&Artico，安全預算基準總結報告，2022年

與其他幾個基準一致，19%的網絡安全預算用于基于云的系統，正如最近的IANS和Aritco調查所定義的那樣。

CISO將20%的預算分配給基礎設施安全

許多CISO致力于改造遺留技術堆棧，以保護基礎設施、物聯網、工業控制系統和運營技術(OT)應用程序和系統。

身份訪問管理(IAM)和特權訪問管理(PAM)是到2023年增長最快的預算類別之一。雖然德勤研究發現12%的預算分配給了IAM，而基于云的PAM系統正在幫助縮小技術堆棧中的差距。

資料來源：德勤2021年網絡安全未來報告

從擅長基準測試和預算的CISO那里學到的經驗教訓

將基準測試和預算編制視為一個迭代過程是成功編制網絡安全預算的關鍵所在。一位CISO透露，基準測試、預算編制和修正周期需要成為組織成功基因的一部分。

此外，基準測試數據因行業的細分市場和子細分市場而異，因此了解其面臨的獨特挑戰至關重要。比較基準數據可以找出差距并確定何時需要采取行動。

一位制造公司的首席執行官指出，基準測試最具價值的地方是發現以前沒有人考慮過的差距，并迅速糾正路線以彌補這些差距。該公司將支出重心從安全防御轉向網絡彈性，與其零信任計劃相吻合。

最后，安全預算編制是CISO最被董事會看重的技能之一，CISO需要了解如何規劃基準數據，編制既能為網絡彈性提供資金又能增加企業收入的網絡安全預算。CISO在平衡兩者方面做得越好，職業發展的可能性就越大。

來源：GoUpSec