多年前，現任Transmit Security公司CISO顧問的大衛·馬赫迪(David Mahdi)就遭遇了任何安全負責人都不愿面對的困境：年中預算突然被削減，且無法推遲執行。“這是內部問題、遺留技術債務、市場壓力和地緣政治等多種因素不可控地交織在一起，同時爆發了。”他說道，資金緊張迫使他迅速做出痛苦權衡。

他表示：“鑒于削減預算的緊迫性，我們意識到這一過程不可能盡善盡美，難免會出現漏洞。”

這段經歷影響了他應對限制預算的方式，如今，他敦促面臨類似挑戰的CISO們明確優先級，對哪些預算可以縮減、哪些預算要不惜一切代價保護，做出深思熟慮且慎重的決策。“要警惕對所有事項都一刀切的錯誤觀念，這會造成看不見的脆弱性。在出現問題之前，沒人會感覺到削減預算帶來的影響。”

在資源減少的同時保障安全，似乎是一項不可能完成的任務，每個決策都伴隨著權衡，且容錯空間極小。

如何縮減開支而不破壞整體安全

網絡安全支出實現兩位數增長的時代或許已一去不復返。根據IANS Research和Artico Search發布的《安全預算基準報告》，2024年，每八位CISO中就有一位報告預算被削減，約四分之一的CISO表示預算持平。即便在獲得更多資金的多數CISO中，大多數人報告的預算增幅也較為有限，通常在1%至5%之間。不出所料，近三分之一的CISO表示，當前預算無法滿足需求。

從支出構成來看，最大一部分(37%)用于人員和薪酬，非現場軟件占23%，其次是外包、現場工具和特定項目，這些方面的支出占比較小，僅有5%用于硬件，4%的預算用于培訓和發展，最后，僅有3%的預算留作可自由支配開支。

這種精打細算的分配方式意味著，一旦預算削減來襲，安全負責人往往要在沒有明確的選項的情況下做出艱難決策。選擇保護什么、縮減什么，以及如何在不使企業面臨風險的情況下做到這一點，都需要戰略性的思考，但同樣重要的是心態調整。“當預算縮減時，我認為這是一個驗證先前風險假設、挑戰遺留支出，以及使安全投資與關鍵業務成果保持一致的機會。”馬赫迪說。

他采用了一種圍繞三個維度構建的結構化方法：

? 戰略風險(高、中、低)：如果此控制措施失效，實際會面臨怎樣的風險?

? 業務一致性：哪些職能有助于創收、贏得客戶信任或確保合規?

? 顯而易見的選擇：這些是冗余工具、閑置軟件，或是那些在表面上看起來不錯，但實際無法提供可衡量保護作用的“安全作秀”控制措施。

在進行此評估時，馬赫迪組建了一個跨職能團隊，其中包括業務部門負責人、安全架構師、威脅情報負責人，以及企業內外的可信賴同行，這種協作方式不僅分散了責任，還有助于發現盲點，并使預算削減與企業的整體風險狀況保持一致。

他還使用關鍵指標來評估某些工具或流程是否高效，并權衡覆蓋范圍與復雜程度，試圖確定某個解決方案是在解決獨特的安全問題，還是僅僅重復現有的工作。最后，他考慮一項投資能多快產生可衡量的成果。利用這一框架，CISO們可以確定在哪些領域可以在不顯著增加風險的情況下進行預算縮減。

從何入手

首先需要評估的領域之一是冗余工具。“如果兩個工具能完成70%的相同工作，那么保留集成和支持更好的那個，”馬赫迪說。然后，CISO們可以著手處理那些通常可以合理調整的、受遺留合規要求驅動的控制措施。“要關注有效的控制措施，而非僅為了應付檢查的控制措施，特別是在那些過度依賴遺留治理、風險和合規管理的企業中。”

不過，削減時應謹慎行事。“遵守適用法規是不可妥協的，”Approach Cyber公司的CISO勞拉·岡薩雷斯·普里德(Laura Gonzalez Priede)說。因此，安全負責人必須清楚了解自己的法律義務，并確保對安全計劃的任何調整都不會危及合規性或滿足核心業務需求的能力。

并非每個預算決策都是非黑即白的。一些舉措，如創新或實驗性項目，處于灰色地帶，它們很有價值，但并不總是那么緊迫。在資金緊張時期，這些努力可以暫時擱置，特別是當它們不針對緊迫威脅或合規需求時。

然而，為了在創新項目暫停期間保持團隊士氣，馬赫迪建議讓他們制定一份詳細的預算改善后的加速推進策略，這不僅能給他們一個目標，還能確保企業在獲得更多資源時能夠迅速恢復勢頭。

在削減開支時期，岡薩雷斯·普里德優先考慮人員和流程，而非工具。“雖然工具很重要，但許多工具可以用開源或內部開發的替代品替代，”她說，“一個由有能力的人員支持的強大流程，往往可以彌補特定工具的缺失。”

在裁員時，馬赫迪強調了超越職位頭銜或技術認證的重要性。“不要想當然地認為技術性最強的崗位就是最關鍵的，有時，那些將安全與業務緊密聯系起來的人才是你最具優勢的資產。”

錯誤的決策可能讓你損失慘重

選擇在哪些方面削減網絡安全預算很少是簡單直接的，倉促行事只會加大風險。這意味著，很容易做出一些當下看似實用，但最終會損害韌性或日后引入隱藏漏洞的削減決策。

“據我所見，CISO們在壓力下往往過于倉促地削減檢測和響應能力、事件準備演練以及安全運營崗位。”馬赫迪說。

他們認為，加強預防就意味著可以在事后應對方面減少支出，但這是一場危險的賭注。“事情總會出問題!雖然預防很好，但總會有疏漏，”他說，“當事情出問題時，重要的不是控制措施的數量，而是你的響應時間、遏制能力以及恢復能力。”

在擔任Gartner分析師期間，馬赫迪目睹了這種情況的發生。“在一個案例中，一位CISO削減了事件響應(IR)準備工作的投入，并將一級安全運營中心(SOC)外包以節省預算，”他回憶道，“當發生數據泄露時，服務提供商錯過了早期跡象，而且由于缺乏內部力量，該企業在甚至了解泄露范圍之前就浪費了關鍵時間。”在這種情況下，實際損失的不僅僅是數據，還有信譽。

CISO們犯的另一個錯誤是削減跨職能崗位，如嵌入式產品安全、治理負責人或與業務對齊的風險顧問等崗位。“這些崗位是連接企業各部分的紐帶，”馬赫迪說，“沒有它們，安全就會變得被動、被誤解，并被邊緣化。”

在削減開支期間，CISO們可能還會選擇保持沉默，減少透明度。“他們應該反其道而行之!”他說，“展示哪些得到了保護，哪些風險被接受了，要對自己的權衡決策負責，并充滿信心。”

保持透明度并關注人員需求至關重要，特別是在困難時期。岡薩雷斯·普里德發現，CISO們常有的一個遺憾是對員工和培訓投資不足，這會悄然削弱團隊能力。“持續的教育能確保員工保持勝任力和安全意識，這在不斷演變的威脅環境中至關重要。”她說。此外，裁減錯誤的崗位或吝嗇于引進人才往往會導致效率低下、優先級錯位和長期成本上升。

另一個常見的疏忽是缺乏完善的流程文檔，這對于保持連續性至關重要，特別是在關鍵人員離職時。“沒有這些文檔，企業就面臨著丟失關鍵知識和執行一致性的風險，這可能會帶來之前未曾預見的風險。”她說。

但從另一方面來說，縮減開支也可能帶來積極的一面。岡薩雷斯·普里德表示，這促使安全負責人花時間重新評估優先級，并優化流程，使其更加敏捷和以結果為導向。“在過渡期間，必須通過適當的規劃和監控來謹慎管理。”