Google Cloud的首席信息安全官Phil Venables最近分享了其在安全预算方面的经验,Phil Venables曾在多家全球主要银行担任过安全管理职务,包括德意志银行、巴克莱银行和渣打银行。在进入正文前,我们先来看看一家大型跨国银行如何进行网络安全预算。
大型跨国银行进行网络安全预算的主要考量有:
1.遵守多个国家和地区的监管要求,比如欧盟GDPR、美国纽约DFS监管法规等。
2.业务和资产较为分散,需要考量不同国家和业务线的网络安全需求。
3.更复杂的网络环境,包括不同地域的数据中心、公有云和私有云等。
4.面临更全面的跨国网络威胁,预算需要纳入全球化的监测和响应。
5.网络安全预算还会结合集团层面的风险治理和资本配置情况。
一个模拟的例子:
美资大型跨国银行的年度网络安全预算(约3.15亿美元)
1.本地数据中心与网络安全运维:1.5亿美元
- 硬件/设备升级:5000万美元
- 网络安全软件许可费:4000万美元
- 数据中心运维团队成本:6000万美元
2.公有云服务的安全管控:6000万美元
- Azure和AWS的网络安全费用:4000万美元
- 云环境安全管控团队:2000万美元
3.欧洲区GDPR合规成本:4000万美元
- 强化数据分类和访问控制:2000万美元
- 建立EU用户权利响应机制:2000万美元
4.全球安威胁监测与应急平台:3000万美元
4.1 构建全球安情报收集系统(1500万美元)
- 部署网络探针和蜜罐(500万美元)
- 从商业威胁情报提供商采购数据feeds(300万美元)
- 构建业务可信数据收集系统(300万美元)
- 运营全球bug bounty和红队渗透测试(400万美元)
4.2 情报分析和响应团队(1500万美元)
- 数据科学家和威胁模型建模团队(500万美元)
- 情报分析师团队(400万美元)
- 威胁追踪调查与网络防御团队(400万美元)
- 情报分享平台维护和运营(200万美元)
5.端点和移动设备安全:2000万美元
- MDM系统升级:1000万美元
- 强身份终端检测技术:1000万美元
6.安全系统升级及新技术研发储备:2000万美元
- 区块链和生物特征认证技术研发预算:2000万美元
合计约3.15亿美元,约占年度IT预算的15%左右。
以下为正文
安全预算 - 供给和需求
1.安全领导者在预算制定和管理方面所面临的挑战
如果你不是在进行连续或季度预算编制(有些组织确实如此),那么毫无疑问,你正在为年度预算过程做长期准备,以获取实现2024年目标所需的资源。更为重要的是,确保你组织周围的所有团队都有计划的资源(人力和预算),以完成他们需要做的所有事情。
这是所有级别的安全领导者的核心纪律,从子团队到整个组织。然而,我发现这是安全领域中最少被讨论的方面之一。在会议、培训甚至许多“CISO指南”和风险管理书中,很少提及预算。我找到的与预算最相关的讨论是在风险量化的背景下。具体而言,是风险缓解的成本是否在预期损失的范围内。然而,这些方法并未考虑到运行整个企业安全计划所需的运营规划和预算——这可能是一个非常有趣的效率比率,即计划费用与直接风险缓解费用的比率。
任何安全领导者都面临的挑战是获得并维持必要的预算,以保持在商定的风险容忍度内,以有效而高效地支配这笔预算,并将其用于不仅用于风险缓解,还用于为企业创造附加商业利益。在抽象层面上,这并不是难题,只需要核算所需,提出申请,然后支出。然而,有经验的人都知道,这远非如此简单,而且需要一个艰辛的过程,跨越多个利益相关者、多个业务单位/产品团队以及CEO、CFO等人。
对于大多数组织来说,认为你去“董事会”,他们会给你“一大笔现金”,然后你就可以执行计划,这种想法是天真的。要是董事会真能这样运作,只要现金就能解决问题该多好。同样,去“董事会”获取“一系列承诺”,最终也只不过是“一系列无资金支持的要求”,对任何人都没什么用。
预算工作的大部分实质上是将风险主题转化为战略计划,进而映射到你的中央安全团队(负责整体安全战略、政策和协调的中央安全团队)、联邦团队(负责执行具体任务或服务的分散的、相对独立的团队。如网络安全、物理安全、人员安全等。)和业务团队的战术执行中。有时这些项目将是独立获得资金支持的项目,但通常会是其他主要项目或正在进行的活动中的增量或分配资金。
在所有这些方法中,多年来我见过的一种有效的技术是以供给和需求的方式来思考。即使没有字面上这样做,但以这种方式思考会使你在请求资源时更具商业意识,由此带来的副作用是,其他公司高管会认为你是资源的可信保管人,从而更有可能获得你所需的支持。这正是你想要的,拥有一个声誉,即你获得的每一美元或每一个人都被高度利用,以保护或增加组织的底线或使命成果。
2.安全供给和需求
你的团队(或者是项目/计划)面临一系列的需求。这些需求可能不仅仅是你的团队,根据组织的结构,它可能涉及整个企业在安全方面的支出,从CISO(首席信息安全官)职能,到嵌入在业务线上的信息安全官角色,再到在产品团队中专门从事安全工作的具体工程师。这些需求可能涉及审查和缓解新业务产品、新项目的风险,处理漏洞,调查潜在的安全事件,处理收购/剥离事务,引入新的供应商或新技术等等。
然后,你拥有一定的资源和能力来满足这些需求,这些资源和能力可以是人员、服务、产品或其他支出。当然,目标是平衡供给和需求。然而,问题在于我们生活在大多数组织中需求超过供给的世界,这是因为业务增长、IT变化、供应链复杂性、新威胁和漏洞以及许多其他因素。即使我们能够不断增加预算而不受限制,也并不总是清楚我们是否有能力将预算转化为满足需求所需的实际供给(人员、服务和产品)。
因此,我们必须从问题的各个方面进行考虑:
需求管理
1.通过调整风险偏好来减少需求。重新定义你认为重要的并因此应关注的地方。你不可避免地会有一种方法来对你最关键的资产和业务服务进行工作优先级排序(尽管要小心不要忽略其他方法)。你可以通过收紧关键定义的范围来减少需求,因此你的安全计划的范围。这需要在你的董事会或执行风险委员会的监督下完成,并且应该像任何潜在的供需不匹配风险接受那样在你的风险分类账中说明。
2.通过全面消除风险来减少需求。这种形式的风险规避是一个被低估的技术,你可能会删除某些业务服务、产品、供应商或整个技术类别。这不一定容易,但应该成为预算对话的一部分,在我的经验中,这会产生一些最有趣的权衡讨论。例如,整合供应链,或者甚至通过向他们发送更少的关键信息来减少供应商固有风险,并想出方法按这种方式操作他们的服务。类似的方法也可以在内部工作,我看到许多组织通过删除隐私关键数据并将其整合在更少的更好保护的地方来减少他们必须保护的隐私关键系统的需求量。投资于技术现代化、攻击面减少或在广泛使用的框架中嵌入安全组件,以及这些框架的采用,可以减少安全资源的需求量。是的,这需要资金,这将出现在供应侧,但随后可以证明长期需求侧减少会产生极为正面的投资回报率。
供给管理
3.增加资源。默认和最容易考虑的就是要求更多预算用于更多人力、服务或产品。许多组织只关注这一步,而不考虑需求侧或替代供应侧方法。这就是安全预算变得并保持痛苦的原因。
4.增加资源效率。现在,事情变得商业化,实际上相当有趣。通过提高你已经拥有的资源的利用率来增加满足需求的供应能力。这可能是通过更好地扩展流程、增加所有员工的基本培训、为人们使用的工具/工具包的实施、在意见平台中嵌入安全以提高基线并通过降低控制成本来实现的。这也可以包括通过自动化和编排工具以及更好地沟通体系结构模式为安全团队提供利用,以减少设计审查的工作量。
风险接受
"Risk Acceptance"(风险接受)是一种风险管理策略,指的是在认识到某种风险存在但无法通过其他手段予以消除或减轻的情况下,组织或个体选择有意识地接受这种风险的决策。这意味着对于某些潜在的不确定性或威胁,主体明确地决定不采取措施来规避、转移、降低或消除这些风险,而是接受它们可能发生的后果。
5.供给侧不足的后果。如果从根本上无法平衡供给和需求,那么你就面临着供给侧的不足。这将导致一个或多个由管理层支持的风险接受。这是这个过程的一个关键部分。坦率地说,这里没有什么魔法,你要么有足够的供给来满足需求,要么就会建立一些需要正式接受的风险赤字(可能以某种方式进行对冲)。你需要避免在预算过程中嵌入暗含的风险,而这些风险在实际中并没有出现在你的风险分类账中。在你的风险分类账中对此进行编码,然后在生命周期中进行管理是至关重要的。这种方法的有趣之处在于你随后可以在多年的时间内查看这一点,看看逐年积累了多少需要以各种方式与“资产”匹配的风险责任。很少有组织这样做,但一些组织确实这样做。
所有这些都需要在某些时候管理下来,过去的累积应该成为每个新预算周期的主要讨论点。甚至有可能你的供应超过需求,在这种情况下,这会释放满足以前年份累积的风险或许甚至退还部分预算的能力。
重点:将安全预算视为供需问题。同时处理供给和需求以使你的预算过程成为一个风险管理练习。即使你不正式以这种方式展示,该过程也会带来清晰的思维,并向你的企业说明你在商业上考虑如何减少不断增加的安全预算。
参考资料:
https://www.philvenables.com/post/security-budgets-supply-and-demand
往期精选
围观
热文
热文
如需入群交流的朋友,请后台发送“工作单位/公司+研究方向”和个人微信二维码(注意:1.需要进行身份验证 2.不能保证入群)
入群要求:
1.研究方向
A.威胁情报、安全运营、威胁狩猎、入侵检测/对抗、取证、数据安全、安全架构等
B.监管、CERT、智库研究员等
2.积极参与交流(每周至少参加一次交流)