全球知名的信息技術(shù)研究和顧問(wèn)公司Gartner近期發(fā)布的“IT關(guān)鍵指標(biāo)數(shù)據(jù)”顯示，各企業(yè)機(jī)構(gòu)在IT安全與風(fēng)險(xiǎn)管理方面的支出平均占到IT總預(yù)算的5.6%。但I(xiàn)T安全支出占IT預(yù)算的比例介于約1%至13%之間，并可能在衡量項(xiàng)目成功與否時(shí)充當(dāng)了一種誤導(dǎo)性指標(biāo)。

評(píng)估安全風(fēng)險(xiǎn)

客戶往往希望知道自己在信息安全方面的支出是否與其所在行業(yè)、地區(qū)內(nèi)的其他公司，以及同等規(guī)模的公司不相上下，以此來(lái)評(píng)估是否應(yīng)對(duì)安全性和相關(guān)項(xiàng)目進(jìn)行財(cái)務(wù)投入。

然而，有關(guān)行業(yè)平均值的籠統(tǒng)對(duì)比并不會(huì)對(duì)企業(yè)的具體安全狀態(tài)有多大幫助。企業(yè)的支出可能與同行處于同一水平，但企業(yè)的投資方向可能有誤，因而存在極大隱患。又或者，企業(yè)的支出可能使用得當(dāng)，但風(fēng)險(xiǎn)偏好仍與同行有所不同。

Gartner認(rèn)為，2020年之前，大部分企業(yè)機(jī)構(gòu)將繼續(xù)誤將IT安全支出的均值作為評(píng)估安全態(tài)勢(shì)的一種指標(biāo)。

在不了解業(yè)務(wù)要求、風(fēng)險(xiǎn)容忍度和滿意率水平的情況下，IT安全支出占IT預(yù)算比例的這一指標(biāo)自身并不能為適當(dāng)分配IT或業(yè)務(wù)資源提供有效的對(duì)比信息。

此外，單單IT支出統(tǒng)計(jì)數(shù)據(jù)一項(xiàng)無(wú)法衡量IT效率，而且也不能成為衡量成功IT企業(yè)機(jī)構(gòu)的一種標(biāo)準(zhǔn)。它們只能提供關(guān)于平均費(fèi)用的指導(dǎo)性意見(jiàn)，而不涉及復(fù)雜性或具體需求。

鑒別“真實(shí)的”安全預(yù)算

詳盡的安全支出通常按硬件、軟件、服務(wù)（外包與咨詢）和人員各項(xiàng)進(jìn)行細(xì)分。但是，由于未能充分反映企業(yè)在IT安全領(lǐng)域投資的真正規(guī)模，因此關(guān)于詳細(xì)安全支出的任何統(tǒng)計(jì)數(shù)據(jù)本質(zhì)上都“缺乏力度”。這是因?yàn)榘踩匦跃蝗谌胗布④浖?、活?dòng)或項(xiàng)目之中，并非直指安全性。

Gartner根據(jù)經(jīng)驗(yàn)判斷，許多企業(yè)完全不了解自身的安全預(yù)算。部分原因在于極少有成本核算系統(tǒng)將安全細(xì)分為單獨(dú)的核算項(xiàng)目，許多與安全相關(guān)的流程都不是由安全專(zhuān)管人員所完成，因此無(wú)法準(zhǔn)確地按照人員數(shù)量進(jìn)行統(tǒng)計(jì)。

大多數(shù)情況下，首席信息安全官（CISO）無(wú)法深入了解整個(gè)企業(yè)的安全支出情況。

為了確定真實(shí)的安全預(yù)算，CISO應(yīng)關(guān)注多個(gè)方面，例如：具備嵌入式安全功能的網(wǎng)絡(luò)設(shè)備、可能納入終端用戶支持預(yù)算的桌面保護(hù)、企業(yè)應(yīng)用、外包或托管的安全服務(wù)、業(yè)務(wù)連續(xù)性或隱私計(jì)劃，以及可能由人力資源部提供資金支持的安全培訓(xùn)等。

Gartner“IT關(guān)鍵指標(biāo)數(shù)據(jù)”研究結(jié)果顯示，在安全狀況良好的企業(yè)機(jī)構(gòu)內(nèi)，其安全支出占IT預(yù)算的比例有時(shí)低于平均值。20%支出最低的企業(yè)包括以下兩大截然不同的類(lèi)型：

一是因支出不足而無(wú)法獲得安全保障的企業(yè)。

二是已實(shí)施最佳IT運(yùn)營(yíng)與安全實(shí)踐以降低IT基礎(chǔ)架構(gòu)總體復(fù)雜度并盡力減少安全漏洞的安全型企業(yè)。

Gartner認(rèn)為，各企業(yè)應(yīng)將4%至7%的IT預(yù)算投入IT安全領(lǐng)域。若擁有成熟的系統(tǒng)，則在該區(qū)間內(nèi)降低預(yù)算。若完全開(kāi)放且面臨風(fēng)險(xiǎn)，則在該區(qū)間內(nèi)提高預(yù)算水平。這些是指由CISO掌管和負(fù)責(zé)的預(yù)算，而非“真實(shí)”或總體預(yù)算。

為了切實(shí)重視信息安全，各企業(yè)機(jī)構(gòu)必須首先評(píng)估其面臨的風(fēng)險(xiǎn)，并且清醒地認(rèn)識(shí)到在名目繁多的賬目?jī)?nèi)，CISO的安全預(yù)算和“真實(shí)的”安全預(yù)算都有可能未將所有安全支出包含在內(nèi)。

而那些真正了解企業(yè)機(jī)構(gòu)內(nèi)部所有的安全功能（包括必要但卻丟失的功能），以及如何提升這些功能的CISO將極有可能利用間接投資的方式贏得支持。