如何应对不断上升的网络安全成本

网络安全系统、解决方案和人员的平均成本正在增加。正如研究公司Gartner指出的那样，公司在 2023 年的支出将比 2022 年多 11%，以有效处理安全和风险管理。

这使公司处于一个具有挑战性的境地：如果支出保持不变，IT 环境将面临风险。如果他们为网络安全预算更多，其他项目的资金可能会失败。

结果？企业必须在不断上升的网络安全成本与有限的预算资源之间取得平衡。

是什么导致成本增加？

有几个因素正在推动网络安全成本的增加。

首先是不断发展的法规，例如新的白宫网络安全战略。根据Utility Dive 的说法，该战略侧重于能源等行业，并建议组织建立主动的网络安全，以支持互连的硬件和软件。然而，鉴于许多企业仍然依赖遗留系统来支持关键功能，升级到主动流程可能会带来高昂的代价。

虽然私营公司可能不受相同法规的约束，但客户越来越关注数据保护。据TechRepublic称，45% 的人表示他们会在网络攻击成功后停止与组织开展业务。因此，无论是为了遵守政府法规还是满足客户期望，企业都可能会花更多钱来构建主动的网络安全框架。

人员配备也仍然是一个关键问题。以世界经济论坛 (WEF) 2022 年的一项调查为例，该调查发现 59% 的公司缺乏网络安全技能，并担心他们处理网络攻击的能力。在招聘新员工时，组织面临着时间和金钱的双重成本。鉴于安全专业人员的高需求和低可用性，公司必须制定超越薪水的招聘策略，以突出加入的社会影响和文化效益。

公司如何处理这些新增费用？

没有办法解决这个问题——价格在上涨，公司要想继续受到保护，就需要付出代价。虽然这不是任何高管都想听到的，但也不全是坏消息。以下是有助于管理网络安全支出的四种策略。

提高最终用户成本

平衡不断上升的网络安全成本的一种选择是将增加的成本转嫁给最终用户。通过提高产品和服务的成本，公司可能能够抵消新安全解决方案的价格并实现预算收支平衡。

然而，这种方法有利有弊。从好的方面来看，全面的小幅价格上涨可能足以平衡新的支出。与此同时，谈到缺点时，公司必须考虑迫在眉睫的经济衰退的不断变化的影响。收费过高，精打细算的消费者可能会简单地将他们的业务转移到别处，从而导致组织出现净亏损。

在内部支付成本

也可以简单地在网络安全上花费更多并在内部支付成本。虽然这确实需要初始现金支出，但许多安全解决方案会随着时间的推移收回成本。

然而，值得注意的是，这些成本节省采取的形式是防止可能使组织陷入瘫痪的事件。想想2022 年美国数据泄露的平均成本为 944 万美元。如果更多的网络安全支出可以帮助公司避免攻击，那么节省的费用将是可观的。警告？要使这种方法奏效，最高管理层必须参与其中。

优先考虑数字调整

企业还可以通过采用数字化转型来最大程度地减少不断增长的网络安全支出的影响。例如，将公司的部分或全部存储服务器管理转移到云中可以消除对物理数据中心的需求——以及这些物理位置带来的成本，例如租金、电力和现场安全。

此外，基于云的解决方案还具有按需可扩展性的优势。这消除了公司为突然的流量高峰或带宽需求购买额外的、未使用的服务器容量的需要。在这些数字化转变上节省的钱可以用来平衡网络安全预算。

转向托管服务

转向托管安全服务模型是另一种控制网络安全成本的方法。这对于较小的公司或那些努力寻找熟练的网络安全人员的公司尤其有利。通过与值得信赖的第三方供应商合作，企业可以降低安全事件的风险，而无需雇用、培训和补偿全职员工。

此外，托管选项允许公司选择他们需要的服务来解决特定问题。这使组织有可能建立可预测的、可靠的预算，这些预算只会在添加或删除服务时发生变化。

评估保险影响

根据Statista 的数据，美国一半的公司现在都有网络保险。预计该市场在未来五年内也将经历显着增长。

然而，这种增长在很大程度上与迫使公司进行网络保险索赔的网络攻击数量的增加有关。因此，网络保险的成本正在上升。正如《财富》杂志所指出的那样，美国的网络保险平均成本在 2022 年第二季度上涨了 79%。

保险公司也正在将成功理赔的部分责任转嫁给企业。例如，许多公司不会发布政策，直到组织证明他们拥有基本的网络安全卫生实践，例如使用强加密和强大的身份和访问管理 (IAM) 工具。

换句话说，即使购买旨在防范网络安全事件的保险也需要预购支出，以确保政策和做法符合保险公司的预期。

从义务到投资

网络安全的成本越来越高，随着攻击量的增加、监管和客户期望的变化以及人员短缺的持续存在，这种上升趋势可能会持续下去。

对于组织而言，结果是增加支出以保持安全。虽然无法避免这一义务，但仍有机会将网络安全支出视为一项投资——一种降低成功攻击风险、帮助增强客户信任并允许公司简化其 IT 运营的投资。

原文始发于微信公众号（祺印说信安）：如何应对不断上升的网络安全成本