Gartner咨询公司的分析师指出,各机构将平均5.6%的IT预算用于信息安全和风险管理。
信息安全上的花销往往占到IT预算的1%到13%不等。Gartner公司警告说,只注重安全支出的规模可能会误导企业,即使和同行对比也意义不大。
企业想知道他们的信息安全支出是否和同一行业、同一地区或同规模的企业相当,来确定在安全及相关项目方面是否做到了该做的事情。
但是,仅仅粗糙地参照行业平均标准,是难以有效得知企业的安全水平的。企业很可能看似花了和同行一样的钱,但却因为资金花错了地方而毫无安全可言。因此,企业应当在保有适当投入的同时,拥有和不同于其他企业的风险防御偏好。
按照Gartner的观点,至少在短期或更长的时间内,大多数的企业将继续滥用平均信息安全支出的数据来衡量其安全计划是否成熟。然而企业应当同时考虑自身的业务需求和风险承受能力,来评估其安全预算是否在正确的水平上。
安全工作往往由负责硬件、软件、活动或项目的部门兼管,而负责安全的员工也大多身兼数职。
Gartner的经验是:许多组织甚至根本不知道他们的安全预算有多少。
这部分是因为很少有财务系统会为安全专门立项,而处理安全相关事务的往往也不是全职安全人员,因此根本得不到精确的人力开支。通常来讲,首席信息安全官(CISO)没办法了解整个企业的安全支出。
怎么花预算是个大问题,这甚至比花多少更难以把握。安全预算通常被分用于硬件、软件、服务(外包、咨询)和人力四个方面。
根据Gartner的报告,安全的企业可以偶尔将安全开支缩减到比同行低的水平。那些安全支出最少的企业分成两种:一类花费少且不安全,一类花费少但安全,后者实现了信息操作及安全的最优处理,从而减少了整体复杂性带来的开销。
Gartner估计,企业应该把4-7%的IT预算花在信息安全方面:有成熟的系统的企业花费少些,而门窗洞开、风险较高的企业则花费高些。这一数字只包括首席信息安全官能够掌控和负责的预算,而非所谓的“实际”开销或总开销。
相关阅读