在過去十年中，IT安全預算一直被認為是預算中不可或缺的，由于重大數據泄露所帶來的生存威脅，IT安全預算在很大程度上沒有受到其他部門削減的影響。

然而，對即將到來的全球經濟衰退的恐懼和不確定性，正迫使商界領袖認真審查其運營預算中的每一個條目，企業的CISO不能再假定他們的預算將不受成本削減措施的影響，相反，他們必須準備回答有關其安全計劃的總體成本效益的尖銳問題。

換句話說，雖然企業明白需要投資于強大的安全工具和專業從業者，但現在的問題是，多少資金才夠?如何調整他們的安全支出，以保持可接受的風險暴露水平?

如果安全領導者想要在未來幾年有機會捍衛或增加他們的預算，他們將需要用經驗數據武裝自己，并能夠向那些掌握企業資金的人清楚地傳達他們安全投資的商業價值。

量化安全演算

二十多年前，著名的科技專家Bruce Schneier創造了“安全劇場”這個詞，用來描述這樣一種做法，即實施安全措施，讓人感覺安全程度提高了，但實際上卻沒有做什么。

如今，許多執行董事會開始懷疑，所有這些安全工具和系統的積累是否正在帶來與他們的投資相稱的經濟效益——或者這僅僅是一種歌舞伎劇場，旨在讓他們感覺到他們寶貴的企業資產得到了充分的保護。

CISO同樣面臨這樣一個挑戰，即沒有衡量信息安全有效性的標準化辦法，安全領導人到底應該衡量什么?你如何根據業務實際理解的指標來量化風險?擁有更多的工具真的會讓我們受到更好的保護嗎?還是只會造成更多的管理和復雜性問題?

這些只是CISO在提出業務預算并使其合理化時必須能夠回答的幾個問題。

調整你的安全預算的關鍵策略

通過利用對過去安全事件、威脅情報和安全漏洞潛在影響的數據的訪問，企業的CISO可以就有效防御潛在攻擊所需的資源做出更明智的決策。

將這四種數據驅動的戰略作為定義網絡安全價值并向企業領導人進行溝通的起點：

1.定義有意義的指標

眾所周知，安全指標很難捕獲并以與其他公認的業務指標和KPI一致的方式進行通信。雖然計算直接產生收入的產品或服務的ROI相當簡單，但在試圖量化安全工具的ROI時就變得更加模糊了，因為安全工具主要專注于防止財務損失。

雖然ROI是一個很容易被業務其余部分理解的指標，但傳達IT安全的價值可能并不是最有意義的，同樣，報告與檢測到并阻止的攻擊數量相關的指標聽起來可能令人印象深刻——然而，它與企業領導人實際關心的事情脫節。

最終有意義的是能夠使指標與關鍵業務功能和優先級保持一致，例如，如果企業的主要目標是減少可能的中斷對其運營的影響，則可以隨著時間的推移跟蹤和監控這一點。

2.量化風險

要顯示安全團隊為企業提供的價值，你需要首先量化風險，然后演示如何通過有效的安全控制來降低風險。通過為可接受的風險水平定義明確的閾值來確定企業對風險的容忍度，有助于確保任何已識別的風險在變得太大或無法管理之前得到及時解決。衡量和量化風險的其他一些實際方法可能包括：

概率：發生特定安全風險的可能性，可以使用歷史數據以及專家意見和第三方研究來衡量。

影響：安全漏洞的潛在后果，包括財務損失、聲譽損害和法律/合規責任。

控制：確定采取了哪些措施來預防、檢測或將風險降至最低，這可以包括技術控制(如防火墻或防病毒軟件)以及組織控制(如政策和程序)。

3.整合工具和供應商

在過去的十年里，企業安全團隊掀起了一場安全工具的采購狂潮。Ponemon的一項研究發現，典型的企業平均部署了45個網絡安全工具來保護他們的網絡并確保彈性。

采用新工具的主要驅動力之一是不斷演變的威脅格局本身，這反過來又催生了針對特定攻擊媒介的初創企業的家庭手工業，這導致企業獲得了各種各樣的利基點式解決方案，以彌補和縮小差距。在許可這幾十個相互關聯和重疊的工具時，不僅需要考慮成本，而且管理這些工具還需要額外的成本。

通過采用具有共享數據和控制平面的平臺方法，CISO可以整合安全工具、簡化操作并減少舊式豎井之間的差距和漏洞。

4.確定可見性的優先順序

你不能有效地管理那些你看不見的東西，這就是為什么必須優先投資于提供廣泛網絡可見性的工具和流程，以了解環境中的內容以及最大的風險所在。改善安全狀況的其他方法：

實現無代理：這可以更輕松地覆蓋云工作負載，不需要確保正確的權限，只需輸入AWS憑據，配置API，就可以在不到一小時的時間內掃描環境。

終端可見性：由于大多數攻擊都是從單個終端設備開始的，并為攻擊者提供了提升權限的簡單途徑，因此可見性至關重要，尤其是在員工不斷從遠程位置登錄的情況下。

在過去的十年里，安全領導人一直在努力爭取在董事會中獲得一席之地，如果他們要保住這個席位，他們將需要建立一種基于經驗數據的問責文化，以便他們能夠溝通并使網絡安全的全部價值合理化。