企業網絡安全預算控制條件：規劃和談判

企業已制定的業務計劃可能會因很多原因而出問題-企業戰略或競爭變化、法規變化或因疫情導致全球工作流程變化。但是，無論是否存在不可控制的因素，Gartner和Forrester公司的分析師都認為，企業有可能制定成功的網絡安全預算。

Gartner公司首席研究分析師Sam Olyaei在2020年Gartner安全與風險管理峰會上表示，今年的疫情導致攻擊增加、政府指令變更、供應鏈中斷以及社會影響（例如轉移到遠程辦公）后，從而影響網絡安全支出計劃的時間表。

Olyaei說：“成本優化不僅僅是降低成本，成本優化可能意味著合同談判、業務價值優化、提高效率……或者很可能意味著你必須重新分配資源或尋找替代方案來實現同一目標。”

IT經理首先需要了解優化預算的最佳方法，這主要取決于業務狀況-企業是否要削減開支、保持不變或增長。在不同情況下，成本優化可能意味著與供應商協商最佳交易、重新分配支出或確保預算用于正確的資源。

中斷的影響

Olyaei認為，無法預料的危機或疫情可能引發網絡安全預算的變化，但這種反應通常遵循典型的模式。首先是響應階段，該階段的重點是確保基本服務繼續運行，這包括遠程訪問和控制服務，并在必要時削減成本。

第二個是恢復階段，主要集中在制定成本優化策略，以及對比成本管理當前風險。

最后是更新階段，該階段著眼于將來的產品和服務，這些產品和服務可以幫助企業變得更有效率和更優化。

Forrester公司高級分析師Paul McKay在2020年Forrester安全與風險會議上表示，企業通常會在疫情等極端情況下尋找削減成本的方法，在確定削減多少成本方面，企業可分類三類：

在疫情中受災最嚴重的公司（例如旅游業和休閑業）可能處于生存模式，他們需要盡一切可能使成本最小化。

而以“自適應模式”運營的公司會有些中斷，但是情況并不是特別嚴重，他們的重點是要靈活地適應客戶的需求。速度和靈活性是這些企業的關鍵，因此他們可能需要采用新的軟件或服務才能達到新的標準。

在某些情況下，有些公司處于增長模式。在這些企業中，他們看到對服務或產品的需求不斷增長，并且需要擴大規模來滿足該需求。在這種情況下，安全支出可能會增加。

創建靈活的預算計劃

雖然無法提前知道中斷的影響，但管理人員仍然可以為任何可能的情況制定計劃，同時將網絡安全作為預算重點。

Gartner公司研究與開發副總裁Thomas Scholtz在Gartner安全與風險管理峰會上說，無論是影響網絡安全預算的外部危機還是領導層的決策，IT領導者都需要做好準備。

Scholtz說：“我們需要找到方法來理解企業領導者如何做出投資決策或改變組織決策。然后，只要在企業或業務環境中發生這些變化，我們就可以盡可能有效地做出反應。”

在安全決策方面，主要因素往往包括保護知識產權或數據資源、維護品牌聲譽和信任、遵守法規要求、維護物理安全或保護創收業務。

Gartner公司的Olyaei建議IT主管根據以下內容使用數據驅動的決策流程來確定優先級列表：

• 聽取財報電話會議，以了解高管領導公司的方向；
• 分析IT數據以確保每個環境都有適當數量的員工；
• 執行風險評估、控制部署評估以及流程成熟度評估；

對于數據驅動安全策略，IT領導者可以向董事會提出決策，并提供詳細的理由來說明其決策的必要性，以及為何對公司而言是最佳舉措。

Olyaei還指出，預算必須“具有適應性并切合實際”，因此IT團隊應制定預算計劃以應對任何可能的情況。

網絡安全預算計劃的一部分涉及了解每個安全投資的風險隱患。例如，如果低風險業務部分有大量的安全投資，則應將部分安全預算轉移到需要更多保護的業務部門。

Scholtz說：“當你了解了業務價值，你就可以開始做出權衡決策。在低價值地區花太多錢會有機會成本。”

與供應商談判以獲得更好的合約

制定成功的網絡安全預算還要求供應商不要增加任何不可預見的成本。同樣，在與供應商談判之前，需要進行有效的準備和研究。

Forrester公司McKay說，安全軟件的談判過程通常分為準備階段、實際談判本身以及在簽訂合同并部署產品或服務后對供應商進行的持續性能評估。

McKay主張與同行、分析師和外部采購專家交談，以在準備談判時了解市場、定價動態和業務需求。

McKay說：“有時候，與核心產品相比，供應商更愿意在部署服務方面提供商折扣。與此類似，渠道合作伙伴可以添加其他服務，并有能力獲得更高的折扣率，而賣方自己可以提供服務。”

McKay補充說，最好在談判初期就檢查合同條款，因為合同條款有時會“非常繁瑣，以至于使購買經驗變得相當困難”。

在談判中，IT經理就需要意識到可能表明機會或危險信號的短語。McKay說，如果供應商使用“白金客戶”一詞，這可能是一個好兆頭，并表明該交易對該供應商的重要性。另一方面，如果銷售人員要求企業成為“參考客戶”或“大客戶”，則可能表明該供應商還沒有其他客戶。

McKay建議與供應商談判以壓低價格，并詢問在談判合同時是否包括支持服務或折扣。

McKay說：“安全軟件供應商在軟件基準和合同靈活性方面可能會有些固化。如果他們不愿意讓步，那就準備離開。”