您应该在软件安全上花多少钱?
您应该在软件安全上花多少钱?由于每种情况都有其独特的情况和因素,因此回答这个问题非常棘手。但是,这是过去十年来在网络安全方面获得的一些见解。
首先,什么是安全支出?当然可以确定专用的安全硬件、软件、人员和服务,但是安全支出通常以隐藏的方式嵌入到其他区域中。它可能因行业,地理位置和企业文化而异。在具有严格合规性要求的受监管环境中,IT安全支出将更高,并且如果确认了新威胁或在发生破坏之后,IT安全支出也会增加。
谁在软件安全性上花费最少?两种组织-忽略问题和支出不足的组织,以及拥有成熟IT程序的组织。成熟的IT程序所建立的流程纪律和保障措施可最大程度地减少意外事件,从而降低不可预见的成本。
由于威胁不断变化,因此在诸如防火墙之类的技术上的支出保持不变。较早的威胁将得到更有效的解决,但是新技术和不断变化的威胁态势带来了新的威胁,需要增加支出。多因素身份验证和访问管理等“让好人进入”的支出通常是可自行决定的,但对于战略性业务计划(如家庭银行业务或法规遵从性)通常是必需的。这些作为大型IT项目的一部分得到资助和实施的项目通常不属于信息安全预算的一部分。
平均而言,安全支出水平占IT预算总额的6%至6%。如果您将合规性支出作为安全性的一部分添加,那将是IT预算的另外6%-6%。如果您包括业务连续性支出,那将是另外2%,使其达到IT总预算的10 -14%。如果您的花费比正常情况少得多,则建议您考虑当今的高级威胁、重新考虑安全性假设和态势。
通过共同采购IT安全功能(例如安全监视、漏洞管理、端点保护和SOC即服务(SOCaaS)),使您的安全能力更进一步,对新威胁做出快速响应。对于中小型组织,这种托管服务计划的额外好处有助于解决IT安全人才短缺的问题。
