持續變化的威脅情勢、更多的監管要求以及更加普遍的網路保險,是影響 2023 年安全預算的主要因素。
文/Bob Violino‧譯/Frances
在 CISO 正準備規劃 2023 年的安全預算時,有些人可能會問:「該從哪裡開始?」因為在資安有太多可以保護免受網路威脅的方式,而且一直有新的解方。因此,找出最需要關注的風險項目將會是最重要的任務。
然而,負責安全的領導者必須開始考慮他們需要多少預算以及如何分配。「在宏觀層面上定義戰略目標和制訂安全預算時,CISO 應該知道,現狀可能會讓安全領導者面臨一項完全不可能的任務 ─ 在受限於維持營運和創新的要求下,」西門羅(West Monroe)公司為多種產業的企業提供專業諮詢服務,其網路安全總監 David Chaddock 這麼說。
「雖然一些成熟度較高或曾遭受網路攻擊的組織,已經了解變革的價值,並可能做好了準備;但不幸的事實是,大多數組織仍在努力滿足傳統預算編列的需求,他們面對安全需求能做的唯只有增加安全預算,」Chaddock 說。
根據估計,各公司能夠決定明年網路安全資金來源的關鍵因素可能屬於以下五類:
CISO 需要牢記這些,因為他們要找出確保組織安全的最佳方法。
1. 不斷變化的威脅樣貌
隨著新型勒索軟體威脅的出現、運算向雲端遷移,以及勞動力模式的轉變,網路安全威脅樣貌的變化步伐更加快速。再加上許多公司越來越倚靠數位的型態來經營。
Gartner 資深研究總監 Ruggero Contu 表示:「惡意行為者瞄準的攻擊面正因為企業組織的數位轉型計劃而擴大。」「CISO 所抓的預算必須能足以滿足來自外部風險的新要求,而這過去在傳統上的重點是從內部基礎設施做起。」
暴露的漏洞,如未修補的伺服器和網際網路連接設備中的開放連接埠、雲端系統配置錯誤、洩露的關鍵資訊(如憑證)和受損資產(如假網域和企業的 apps)等,這些領域在未來幾年將越來越成為目標,Contu 說。
包括物聯網(IoT)在內的端點設備快速增長,但固有安全風險也將影響支出。【譯註:固有風險(inherent risk)是尚未實施風險控制措施之前便存在的風險;相對於剩餘風險(residual risk),是在實施了風險控制措施之後仍然存在的風險。】
Contu 表示,「製造、能源、運輸和醫療保健行業的安全預算,必須更加專注於工業環境和系統,因為 IoT 可能帶來新的漏洞」,同時,還必須強化 IT 和 OT 的融合。
2. 經濟局勢導致的網路安全資源短缺
經濟局勢,尤其是通貨膨脹,可能對網路安全支出以及威脅者的行為產生重大影響。諮詢公司 Plante Moran 的合夥人兼網路安全實務負責人 Raj Patel 表示,網路資源的短缺,加上通貨膨脹,將是未來 12 到 18 個月網路安全預算和支出增加的最重要因素。 「基本上,每個人都聽到的是網路預算正在上升,」他說。「但問題是上升的是哪些類別?」答案是安全團隊人員以及安全工具。
「網路人才很難獲得,不過企業願意為此買單,」Patel 說。「這使薪資成本至少增加了 10% 到 15%。 由於人力資源短缺,8年到12年經驗的員工薪資增幅更大。至於安全產品和服務,「在過去四年中,更好的網路風險管理工具和技術顯著增加,」他說。
此外,貧富差距及其帶來的經濟不確定性「將不可避免地導致黑客行為和其他可能破壞穩定的網路安全事件增加,」Chaddock 說。 「隨著公司變得更加數位化,並且越來越容易受到安全漏洞的影響,而大量導入的應用服務加劇了這種情況。」
3. 增加安全風險的地緣政治事件
世界各地的事件,也許最引人注目的是俄羅斯入侵烏克蘭,可能會繼續對網路安全和風險產生重大影響。 Contu 說,對於某些行業尤其如此,例如政府和其他被認為支持國家關鍵基礎設施的行業。
「當前的地緣政治事件將攻擊者的形象改變為國家資助的黑客,他們擁有深厚的技術技能和所需的資源來攻擊美國和歐洲的關鍵基礎設施和公司,」Patel 說。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
West Monroe 的最新季度高階主管調查,針對每季度蒐集來自收入超過 5 億美元公司的 250 名 CXO 的結果,他們詢問各公司高階主管,因為地緣政治和供應鏈不穩定,今年考慮採取哪些行動?大多數高階主管(60%)表示,他們正在考慮增加支出或加大關注網路安全,因為網路戰已成為取得競爭優勢的越來越常用的工具。
Chaddock 說,民族國家支持的針對烏克蘭的攻擊工具現在可以很容易地提供給更廣泛的受眾。 「大多數組織並沒有得到充分的保護,以免受民族國家資助的攻擊,」他說。 「這意味著大多數安全計劃並未未跟上潮流,必須在營運資金需求之外再投入大量投資才能『保持正常運轉』。」
4. 不斷變化的監管要求
在過去的幾年裡,監管要求一直在變,包括處理資料隱私的法律。 Patel 說,遵守各種隱私法規和合約中安全規範責任的成本正在上升。「有些合約可能需要第三方稽核人員進行獨立測試。 由於通貨膨脹和工資上漲,稽核人員和顧問也在提高服務費用,」他說。
Chaddock 說,組織應該專注於建立牢固的安全性,而不是專門關注合規性。「當一個組織真正安全時,實現和維護合規性的成本應該降低,」他說。
Chaddock 說,監管合規要求持續進化,特別是對於那些為關鍵基礎設施提供支援的組織,將更需要大量資金來維持。「不只是處理安全問題,就算只是想確定發生了什麼事情,也可能代價高昂,並且會對日常營運造成影響。如果是這樣的話,請務必加大力度支持監管責任,」他說。
5. 不斷變化的網路保險要求和不斷上漲的成本
在勒索軟體等廣為人知的攻擊之後,越來越多的組織開始購買或至少考慮購買網路保險計劃。 如果支付此類政策的費用超出了安全預算,CISO 將需要考慮不斷上升的保險覆蓋成本和其他因素。
「真正的網路保險成本正在上漲 20% 到 25%,」Patel 說。 「公司可以透過降低覆蓋率或增加自負額來降低成本。 那將意味著承擔更多風險。 一些保險公司會評估你的網路控制以衡量你的保費。因此透過更好的網路控制,可以降低保費。”
Chaddock 說,公司應該確保將網路保險的成本包括在預算內,還有更重要的,是關於維護有效和安全的備份/復原能力相關的成本。
「將勒索軟體與勒索結合起來以不公開披露敏感資訊的轉變,已使許多組織陷入財務困境,如果他們是目標的話,」Chaddock 說。「具有安全和彈性備份和復原能力的組織,受到網路事件的重大影響的可能性要小得多,因此能夠推進新措施並保持領先於競爭對手,而不管其網路保險範圍是否是一個限制因素。」
(本文授權非營利轉載,請註明出處:CIO Taiwan)