未来一年的网络安全支出可能无法防止经济衰退,但它很可能能够在一定程度上抵御经济衰退。尽管如此,安全部门的领导们仍然面临着压力,因为他们要优先考虑那些能产生最大效益的技术。为了帮企业做到这一点,Forrester发布了一份报告。
“很难评估2023年的预算会是什么样子,大多数公司现在都在制定2023年的预算计划,但我认为大多数公司都在采取谨慎的做法。”Forrester的副总裁兼研究总监Merritt Maxim说。
"可能会有一些增长或持平,但如果明年出现更严重的经济下滑,那么就可能有必要进行一定的削减。" Maxim继续说。“不过,就目前而言,鉴于对宏观经济状况的预期,我认为不会立即大幅削减预算。”
公司在云安全方面支出不足,在本地安全方面支出过多
报告指出,企业在云安全方面的支出可能不足。考虑到58%的企业将在未来两年内将其应用程序组合转移到公有云上,安全团队虽然在云安全上投入了可观的资金,但考虑到迁移到云上的工作负载的比例,他们的投入是不够的。他们需要花更多的钱,该报告补充道。
在账目的另一边,报告坚持认为,企业可能在内部安全的相关项目上花费了太多。研究发现,当将维护、许可、升级和新投资的支出结合起来时,内部设施的支出是安全预算中最大的支出——41%的企业将其IT预算的20%或更少用于了安全;38%的人将其IT预算的20%以上用于了安全。
“尽管人们对尽可能多地在云端获取数据感兴趣,但它对某些类型的数据可能不太实用。”该报告的作者之一Maxim解释说。“某些本地技术可能没有合适的云服务,尤其是定制应用,所以可能并不存在迁移路径。并且还可能存在着安全风险问题。”
向托管安全服务提供商转移支出
该报告还预测,向云的迁移不会减少企业在服务上的支出。然而,Forrester预测,传统上对托管安全服务提供商的支出将转向新产品和提供更好结果的新提供商。
“现在有了一个广泛而深入的服务提供商生态系统,可以支持任何范围的网络安全能力,比五年前要多得多。”Maxim说。“企业需要了解服务提供商的能力,以及他们在多大程度上为所在行业或规模公司提供了服务。”
从长远来看,减少安全意识培训不会节省成本
报告指出,一个吸引预算制定者削减预算的领域是安全意识和其他类型的培训。当经济形势恶化时,削减这些领域的开支是很有诱惑力的,但它辩称,与其他支出相比,这省不了多少钱,而且会加剧技能的短缺,并牺牲在无国界、无处不在的工作组织最需要信任的时候灌输信任的能力。
“虽然人类可能不是罪魁祸首,但他们肯定是攻击成功的罪魁祸首之一。”Maxim说。“你所能做的任何能够提高用户警觉和弹性的事情都将使你受益。公司可能被误导的一个地方是,去做一个30分钟的视频,只要用户每年回顾一次,就称之为是安全培训的一种有效的方法。安全行为必须持续地融入到企业文化当中。”