咨询热线

400-635-8089

为什么选择IT外包公司

为什么选择IT外包公司

微软云
IT采购
弱电工程
系统集成

推荐视频

   走进蓝盟

蓝盟弱电工程,组织应该在网络安全方面投入多少资金?

每个组织都必须制定自己的进展流程,以评估需求并证明安全支出的合理性。

      每个组织都必须制定自己的进展流程,以评估需求并证明安全支出的合理性。以下是首席信息安全官(CISO)的建议。
  组织应该花多少钱在网络安全上?答案很简单。这取决于具体情况。
  影响组织特定成本的因素有很多:公司的业务类型,处理的个人或敏感数据或知识产权的类型,它面临的监管要求,IT基础架构的复杂性以及恶意行为者的攻击。目标的可能性。
  比“组织应该花费在网络安全上的金额”更重要的问题是: “组织如何确定他们应该在网络安全上花多少钱?”组织已经开发出正确的流程来做出正确的决策安全支出水平对于有效保护系统和数据非常重要。
  许多因素推动了安全支出
  最近的一些研究报告显示了一些组织目前的安全支出状况。根据2018年11月CIO网站上全球683名IT主管(0x9A8B)的报告,大多数受访者表示IT安全支出仅占公司IT预算总额的15%。近四分之一(23%)的受访组织将超过20%的IT预算用于安全性。
  此外,就整体IT预算的安全份额而言,业务规模似乎并不重要,因为它实际上可以与大公司进行比较。在行业中使用最多安全预算的行业主要是专业服务,金融服务和高科技。
  40%的IT高管表示,“在2019年,哪个商业计划将在推动组织IT投资方面发挥最重要的作用?下一个业务计划还旨在提高运营效率,改善客户体验,发展业务,改变现有业务流程以及提高盈利能力。
  此外,根据IDG Communications对全球664名“以安全为重点”的专业人士进行的另一项调查,近三分之二(60%)的组织计划明年平均增加安全预算。 13%。
  决定安全支出优先级的因素包括最佳实践(74%),合规义务(69%),组织安全事件(35%),董事会授权(33%)以及其他组织中发生的响应安全事件。 (29%)根据国际数据公司(IDC)网络安全产品副总裁Frank Dickson的说法,组织通常将7-10%的IT预算用于安全性。但是,如果您的基础架构非常复杂或受保护的资产很有价值,您可以将预算份额提高15%以上。同样,在某些情况下,5%的预算份额可能是合适的。
  安全公司如何确定安全支出?
  HITRUST(一家提供风险管理和安全服务的公司)首席信息安全官Jason Taule表示,他的安全预算在HITRUST多年来保持稳定,他的领导团队一直在寻找严重的安全和隐私问题。反映了这个事实“严格到足以解决公司本身面临的威胁以及托管HITRUST数据的合作伙伴和客户所面临的风险”
  1.提高运营效率,确保稳定的安保支出
  Taule指出“安全预算多年来一直保持稳定”可能会产生误导。与大多数商业组织一样,我们仍然需要处理各种威胁和风险,同时提高运营效率。因此,要保持稳定的预算,这两个方面需要进行调整。简而言之,如果不提高运营效率,每年的支出都会增加。
  2.控制框架定义了政策和要求。
  为了确定公司应该在安全上花多少钱,HITRUST使用控制框架来定义需要实施的技术,管理和物理策略,过程和关键事项。
  Taule还表示,他做了一些关于持续监控(为客户推荐)并实施了一些措施和指标来管理他的安全计划。关于安全问题的所有决策都包括“反馈”,因此包括管理问题,因为可以做出决定以确保实现期望的结果并且可以根据反馈和需求进行相应调整。
  3.确定减少点
  为了确定适当的支出水平,组织应确定额外支出在降低风险方面的边际收益(参见一种产品的销售增长,即上一次产品销售的利润)。这个级别的绩效可以仔细推理和证明,这是组织展示尽职调查的关键点。
  4.需要一些费用
  很少有组织完全确定他们花了多少钱,大多数组织面临监管要求,客户期望或合作伙伴的特殊需求而面临额外的支出水平。在某些情况下,至少在早期阶段,企业可能会反映价格中的一些成本。但最终,除了最严格的要求之外,所有其他要求成为客户希望公司支付的业务成本。
  有些组织可以比其他组织更多地关注安全和隐私问题,甚至可以将其作为一个秘密来区分自己与竞争对手。因此,您可以在安全性方面投入更多。
  5.重复进行风险评估
  基本上,HITRUST回答有关基于定期,定期和经常性风险评估的成本的问题。如果风险没有改变,您无需调整支出。如果您得出的结论是您面临的风险超出了您的能力水平,那么您需要调整您的支出情况。重要的是要强调安全成本没有固定的答案。
  科罗拉多州如何实现安全支出的增长?
  今年,科罗拉多州的安全支出为2150万美元(约占IT总支出的6%),高于2018年的1270万美元(约占IT总支出的4%)。根据科罗拉多州州长办公室首席信息安全官Deborah Blyth的说法,这是州历史上安全预算的显着增长。
  1.创建一个衡量安全成熟度的框架
  一般而言,很难投入多少资金并确定适当的支出水平。科罗拉多采用框架—— 20紧急安全控制并基于框架测量安全成熟度。
  这种持续的成熟度评估用于证明需要额外的资金来实施额外的控制和子控制。如果资金没有完全实现这些子控制,则可以将它们添加到预算请求中。预算要求中还包括改变机构需求和当前威胁等因素。
  2.验证针对当前威胁的支出要求
  例如,科罗拉多州交通部在2018年2月遇到的安全事件对今年的预算要求产生了严重影响。缺乏足够的资金推迟了实施必要的安全改进,可以防止或减轻安全事件的影响,但这些努力持续了多年。目前,科罗拉多州已经增加了资金,以成功建立一个商业案例并完成今年的安全增强计划。
  3.与其他组织比较支出
  通过国家信息信息官员(NSCIO)每两年发布的一项研究,科罗拉多州也了解安全投资与其他州的比较情况。根据该研究,该州投入了6%-10%的IT预算用于安全。


返回列表
相关解决方案

Related Solution

中文
>
400-635-8089
立即
咨询 电话咨询
服务热线
400-635-8089
 微信咨询
微信咨询
微信咨询
公众号
公众号
公众号
返回顶部