由于新冠疫情(COVID-19)等危機事件的影響，全球業務遭受重創，眾多企業開始驟然削減預算，此舉可能會對安全性產生長期負面的影響。本文將為大家介紹5個削減成本的同時確保安全性的方法。

信息安全領域長期以來一直面臨“人手不足”和“資金短缺”的困境，而這種情況的存在遠早于COVID-19。在當前經濟進入低迷時期，這種壓力越來越大，研究公司Pulse于6月4日發布的一份報告中指出，23%的安全預算目前正處于凍結狀態，并且整體預算削減了49%。

[[344094]]

因此，當首席執行官要求您削減本就資源不足的預算時，首席信息安全官(CISO)應該從何入手呢?更具體地說，是否存在一種方法可以使這些削減措施在經濟衰退結束后也同樣具有存在的意義?以下是安全顧問、供應商和CISO們總結的5大參考意見：

1. 識別重疊技術

在人員、流程和技術的“金三角”中，首先需要考慮的就是技術——即公司已經擁有的軟件。Cyxtera Federal Group總裁兼首席信息安全官Leo Taddeo表示：

此外，還可以與其他部門合作，看看他們都在使用什么技術。識別“影子IT”一直是一件非常困難的事情，因此必須從已知的系統入手，尤其是那些使用更為廣泛的系統。Taddeo表示，現有平臺(例如Windows 10)中也可能存在一些功能，這些功能使首席信息安全官只需打開安全功能即可減輕風險。

無論你從哪里找出這些軟件，消除工具冗余都是一種節省成本的有效措施，即使預算恢復正常后，您可能也希望繼續保留這項措施。正如零信任網絡訪問解決方案提供商Appgate Federal總裁Greg Touhill所說：

2. 重新協商供應商合同

Sumo Logic公司首席安全官George Gerchow表示，對于部門最終決定保留的工具，可以嘗試通過“與供應商重新接觸來盡可能獲取最佳價格”以實現削減成本的目標。他說：

供應商ServiceNow的安全運營總經理Jeff Hausman建議，如果可能的話，團隊應該從永久許可轉向訂閱模式，以實現預算靈活性。

Gerchow表示：

服務提供商Bionic的首席執行官Mark Orlando也提出了類似的建議：

如果供應商不愿談判，則Hausman和Gerchow都建議過渡到開源替代方案。

3. 使用技術降低與人相關的成本

在當前環境中，削減預算確實存在諸多困難，但可能也存在一個積極的影響——這正是促使安全操作自動化的好時機。不可否認，所有的體力勞動耗費了安全團隊的大量時間，如果您的CEO愿意花一點錢來節省更多錢，那么是時候做出改變了，購買那些您一直想要的自動化工具吧。

Hausman建議首席信息安全官應用80/20規則，這是一種商業理論，也稱為“帕累托原則”(Pareto Principle)，該原則指出80%的結果僅來自20%的努力。Hausman解釋稱，

Touhill表示，這種方法對實現零信任可能特別有幫助，例如，軟件定義的邊界領域的新創新提高了策略在“降低成本的同時，幫助您淘汰老年人等人力密集型技術，例如虛擬專用網絡和網絡訪問控制(NAC)系統”。據Pulse調查數據顯示，虛擬專用網絡是5月36%的網絡安全團隊最常使用的“新預算項目”時，這真是一個有趣的現象。

高層管理人員現在可能不想看到任何類型的支出，但是如果老板愿意接受創新思維，請嘗試利用人力資源成本購買旨在減少部門工作量的軟件，從而實現收益最大化。有些工具可能很昂貴，但是比招聘一名新員工所需的薪水和福利又如何?此外，這種方法還可以幫助您在預算恢復時為購買其他愿望清單技術樹立先例。

4. 謹慎裁員

如果您想要削減預算，那么不幸的是裁員可以做到，6月份的失業數據顯示，新冠疫情期間，有超過3000萬美國人失業。在網絡安全方面，Pulse公司于6月份公布的調查數據顯示，在4月或5月期間，有48%的數據安全團隊“因COVID-19而削減了人員”，而40%的數據安全團隊計劃讓人們在11月之前離開。

Bionic公司的Orlando表示：

未來的某一天，COVID-19帶來的經濟危機終將結束。讓員工在處理健康問題、育兒問題以及接下來可能會被解雇的擔憂中加班工作，并不能提高員工的忠誠度。正如Touhill所指出的那樣，人員、培訓和許可成本構成了大多數安全預算的絕大部分?，F在變得討厭您的員工很可能會在COVID-19之后辭職，從而增加了替換員工的人員和培訓成本。所以請記住，我們的目標是找到在不損害未來安全性的前提下削減預算的方法。

5. 不管怎樣，請牢記你的目標

對于安全領導者來說，始終保持目標集中很重要。Orlando表示，無論是確定今天還是未來任何時候裁員時，總體策略是相同的：“將安全團隊章程分解到一個分子水平，決定您可以承受的損失并完成工作。” 歸根結底，堅持這種單一指導策略將告訴您應該削減和不應削減的內容。