如果必须砍预算，那网络安全的底线在哪？

网络安全支出两位数增长的时代或许已告终结。根据IANS Research与Artico Search联合发布的《安全预算基准报告》，八分之一的 CISO报告其2024年预算遭到削减，而约四分之一的人表示预算持平。即使在大多数预算有所增加的群体中，增幅也普遍不高——通常仅在1%到5%之间。不出所料，近三分之一的CISO坦言当前预算低于所需水平。

在预算分配构成上，员工薪酬占据最大份额（37%）。异地（非本地部署）软件位列其次，占比 23%，随后是份额较小的外包服务、本地部署工具及特定项目。硬件支出仅占 5%，培训和发展占 4%。最后，仅剩 3% 作为可自由支配的支出。

这种精打细算的分配格局意味着，当预算削减到来时，安全主管们将被迫在艰难选项中做出抉择，且往往缺乏明确的解决方案。决定保护什么、削减什么，同时避免使组织暴露于风险之中，需要战略性思维。但心态调整同样重要。David对此表示：“当预算收缩时，我将其视为一个契机：验证先前的风险假设、审视并挑战遗留支出，同时将安全投资与攸关业务成败的成果相对齐。”

他采用一种基于三个维度的结构化方法：

为进行评估，David组建了一个跨职能团队，成员涵盖业务部门负责人、安全架构师、威胁情报负责人以及组织内外的可信同行。这种协作模式不仅有助于责任共担，还能发现决策盲点，并确保削减措施与组织的整体风险状况保持一致。

David还依赖关键指标来评估特定工具或流程的效率，权衡覆盖范围与实施复杂度，判断某个方案是解决了独特的安全挑战，还是仅仅在重复现有工作。最后，他会考量一项投资能多快带来可衡量的成果。借助这一框架，CISO们便能识别出那些可被削减而不至于显著增加风险的领域。

首要评估领域之一是冗余工具。David对此建议：“如果两套工具完成的工作有70%相同，就保留集成性并支持更好的那一套。”CISO们可以审视那些由旧有合规要求驱动的控制措施，这些措施通常可以进行合理化调整。“CISO应专注于真正有效的控制措施，而非那些仅为应付检查（checkbox controls）的‘面子工程’，尤其是在那些过度依赖传统治理、风险和合规（GRC）体系的组织中。”

然而，削减工作必须谨慎推进。Approach Cyber公司的CISO Laura Gonzalez Priede对此强调：“遵守相关法规是不可妥协的。正因如此，安全主管们必须清晰理解自身的法定义务，并确保对安全项目的任何调整都不会危及合规性或满足核心业务需求的能力，这一点至关重要。”

并非所有预算决策都非黑即白。诸如创新或实验性项目等举措往往处于模糊地带；它们虽具价值，却未必紧急。面临财务压力时，这类工作可暂时搁置，特别是当它们不直接应对紧迫威胁或合规需求时。

不过，为了在创新项目暂停期间维持团队士气，David建议让团队为预算状况改善时制定具体的重启策略做好准备。这有助于团队成员保持目标感，同时也能确保组织在资源恢复时可迅速重拾发展势头。

在削减开支期间，Gonzalez Priede会优先考虑人员和流程而非工具。“工具固然重要，但许多工具可用开源或自研方案替代。而一个由精干人员支撑的稳健流程，往往能弥补特定工具缺失的不足。”

当涉及人员裁减时，David强调应超越职位名称或技术认证去评估价值。“切勿想当然地认为技术性最强的角色最关键。有时，那些将安全工作与业务紧密结合的人，才是你最具杠杆效应的资产。”

决定在何处削减网络安全预算很少是简单明了的，仓促行事只会提高风险，可能导致代价高昂的错误。这意味着人们太容易做出那些“看似务实，却最终会损害长期韧性或制造技术债务，甚至制造未来漏洞的削减决定”。

David指出：“我观察到，迫于压力的CISO们常常大幅削减检测与响应能力、事件响应准备演练以及安全运营中心（SOC）的人员配置。他们误以为强化防御就能减少对入侵后环节的投资，但这是一种危险的赌博。总会有地方出纰漏！防御固然关键，但总有技术能渗透进来。当问题发生时，关键不在于控制措施的数量，而在于企业的响应速度、遏制能力和恢复效率。”

在David担任Gartner分析师期间，他曾目睹此类后果。“一位CISO为了节省预算，削减了事件响应准备资源并将一级SOC岗位外包。当他所在的组织遭遇入侵时，服务商遗漏了早期迹象，而内部又缺乏响应能力，导致该组织在理清状况前就浪费了关键的响应时间。”此案例中，实际损失不仅包括数据，更重要的是企业信誉。

CISO们常犯的另一错误是裁减跨职能岗位，例如嵌入式产品安全工程师、治理负责人或负责业务对齐的风险顾问。David强调：“这些角色是安全与业务间的粘合剂，没有他们，安全职能将变得被动、易被误解且被边缘化。”

预算削减时期，CISO们也可能陷入沉默，并因此降低了安全透明度。David说：“相反，他们应该反其道而行！比如公开展示哪些领域受到了保护，哪些领域接受了风险。CISO要主动承担决策权衡的责任并保持坚定立场。”

保持透明度并以人为本至关重要，尤其在困难时期。Gonzalez Priede注意到，CISO们常后悔在员工与培训上投入不足，这会悄然削弱团队实力。“持续教育能确保员工维持胜任力与安全意识，这在威胁态势持续演进下尤为关键。”此外，裁错人员或在人才上吝于投入，往往会导致效率降低、重点偏移及更高的长期成本。

另一个常被忽视的问题是缺乏完善的流程文档，而这对业务连续性至关重要，尤其在关键人员离职时。Gonzalez Priede警告道：“缺乏这些文档，组织将面临关键知识流失及执行不一致的风险，这可能引入未曾预料的风险。”

然而，具有讽刺意味的是，缩减开支也可能带来益处。Gonzalez Priede指出，这能迫使安全主管重新评估优先级、优化流程，使其变得更敏捷和以结果为导向。“但CISO必须通过周密的规划和监控来谨慎引导这一转型过程。”

综上所述，本文不仅是一份实战指南，更呼吁CISO在逆境中培养战略思维。预算紧缩不应被视为终点，而是一次重新校准安全投资的机会——正如Gonzalez Priede所言，它能推动流程优化和敏捷转型。CISO们应以此为机，强化与业务部门的联盟，坚持透明沟通，并将安全韧性根植于组织文化。最终，在平衡缩减与安全的长路上，谨记这句箴言：决策不是完美主义的试炼，而是风险与机遇的舞蹈。只有通过深思熟虑的行动，才能在有限的资源下，守护企业的数字资产，这才是安全负责人永远的动力和基石。