2024年,企業網絡安全管理者普遍面臨的一大挑戰就是獲得并維持必要的預算支持,以保持在符合組織預期的風險容忍度內,高效開展網絡安全能力建設。由于網絡安全預算的用途不僅是為了風險緩解,還需要能夠為企業創造附加的商業利益,因此預算編制往往一個艱辛的過程,跨越多個利益相關者、業務部門以及公司董事會等機構。日前,IT專業媒體Helpnetsecurity對2023年企業組織的網絡安全預算情況進行了調查總結,旨在幫助企業更好地應對數字化轉型發展中的風險挑戰。
01、企業網絡安全預算繼續保持溫和增長的態勢
根據IANS和Artio Search的最新研究,盡管經濟不確定性和通貨膨脹,但網絡安全預算總體上仍在繼續增長,只是增速低于往年。調查數據顯示,74%的IT和安全決策者表示,與去年相比,他們組織的IT或安全預算有所增加,63%的人表示,他們組織的IT或安全團隊人數有所增加。
雖然安全預算以較低的速度增長,但安全預算在IT預算中的份額呈上升趨勢,這表明與IT支出相比,對安全支出的影響是溫和的。自2020年以來,安全支出占IT支出的比例從8.6%上升到11.6%,其中技術公司的支出比例最大,為19%。
02、增加的網絡安全支出并沒有轉化為網絡安全態勢的改善
調查數據顯示,盡管到2023年,企業阻止的網絡安全預算平均增長29%,但受訪者表示,他們需要進一步增長40%,才能對自己降低安全風險的能力充滿信心。之所以需要更多的投資,可能是因為35%的網絡預算沒有用于改善安全狀況,因此可能被認為是浪費。
74%的受訪者表示,由于缺乏安全資源,他們管理組織網絡安全狀況的能力受到了負面影響。但解決方案并非簡單地找到更多的人才,還需要關注自動化技術可以優化工作的地方,以及整合可以降低復雜性并在整個IT基礎設施中實現統一管理的地方。超過一半的受訪者表示希望花錢聘請更多的安全專家,其次是投資安全意識培訓(50%)和提升安全團隊的技能(44%)。
03、成本優化已經成為網絡安全預算編制時的重要任務
研究人員發現,雖然組織中的很多部門都在2023年經歷了預算削減,但IT和網絡安全方面的預算仍然維持增加,以應對不斷發展的IT基礎設施和基于人工智能的攻擊等新策略帶來的威脅。不過,即使預算不斷增加,成本優化仍然是全球IT和安全決策者的首要任務。87%的人正在優先考慮增強云基礎設施,85%的人優先考慮在未來12個月內優化IT成本。
IT和安全決策者正在接受變革,以適應新的技能需求和新興技術的崛起。近五分之三的IT和安全決策者認為,未來的IT和安全工作將涉及對專業技能組合的需求不斷增長,并采用新興技術來實現高級安全措施。
04、對AI技術的安全擔憂將推動未來企業網絡安全預算支出
根據Gartner的數據,2024年全球IT支出預計將達到5.1萬億美元,比2023年增長8%。雖然生成式人工智能(GenAI)尚未對IT支出產生實質性影響,但更廣泛的人工智能投資正在支持整體IT支出的增長。
Gartner預計,在2023年和2024年,與GenAI相關的直接IT支出將非常少。然而,組織仍在繼續投資于人工智能和自動化,以提高運營效率并彌合IT人才缺口。圍繞GenAI的炒作正在支持這一趨勢,因為首席信息官們認識到,在2025年GenAI成為其IT預算的一部分之前,今天的人工智能項目將有助于制定人工智能戰略。
05、云服務的低效率占用了企業大量IT方面的預算支出
Aptum公司調查發現,71%的受訪IT專業人士表示,與云計算相關的成本占其IT總支出的30%或更多。在當前不確定的經濟環境中,雖然近年來云為組織帶來了靈活性、可擴展性、敏捷性和成本效率等好處,但仍然存在不可預見的成本。
52%的IT專業人士承認,由于云平臺和服務的效率低下,他們的組織浪費了大量的IT支出。事實上,73%的IT受訪者表示,在過去的12個月里,他們的云計算投資導致了高于預期的IT成本,與2021年的數據相比增長了28%。此外,92%的IT專業人士表示,他們可能會對云計算支出進行全面的投資回報率(ROI)分析,這一比例高于2022年的89%。
對此,Aptum的分析師認為,對企業而言成本高昂的不是云計算,而是缺乏可觀察性和治理,這阻礙了管理效率的提升,也嚴重阻礙了對云服務的成本控制。
06、由于預算分配不均衡,企業內部的安全風險正在快速上升
根據DTEX Systems的調研數據顯示,2023年企業花費了比以往更多的時間來控制內部威脅事件,內部風險的平均成本已達到有史以來最高水平1620萬美元,四年來增長了40%。與此同時,企業用于控制內部安全事件的平均時間也增加到86天。響應時間越長,成本就越高(對于需要91天以上才能控制的事件,成本為1833萬美元)。
不過,盡管內部風險的成本不斷增加,但88%的受訪組織在內部風險管理上的預算支出還不到其網絡安全總預算的10%。而且,就已花費的內部管理預算而言,只有10%用于了事前預防,包括將潛在的未來內部事件最小化的活動以及與主要利益相關者溝通建議的步驟。其余90%都用在了對已發生安全事件的遏制、補救、調查、響應和措施升級等。
07、緊張的網絡安全預算將推動托管網絡安全服務發展
根據Cobalt調查數據顯示,2024年,超過60%的受訪網絡安全專業人員表示其安全預算并不充分,可能導致其專業人員的招聘計劃放緩。這可能會進一步加劇網絡安全專業人才不足和現有人員職業倦怠的程度。
持續的經濟不確定性、不斷增加的網絡威脅和IT專業人員的短缺為托管服務提供商(MSP)提供更多的業務發展機會。很多企業組織需要將更多的網絡安全服務外包給MSP。數據顯示,近80%的受訪者表示,他們會將一項或多項IT服務外包給MSP,高于去年的64%。
08、影響企業網絡安全預算支出的主要因素
Netrix Global調查發現,企業網絡安全管理者迫切希望在2024年擁有更先進的安全工具和解決方案,以幫助其應對日益嚴重的網絡安全威脅。22%的受訪者表示,他們希望今年在網絡安全領域使用更多的人工智能,這一比例幾乎是排名第2的自動化(5%)的五倍,緊隨其后的是威脅檢測、改進的云安全和身份驗證方法(各占4%)。
有趣的是,在考慮有關支出決策的其他發現時,安全高管表示,供應鏈問題和不斷增長的遠程辦公模式可能會對2024年的IT安全支出產生比迫在眉睫的經濟衰退更大的影響。研究發現,只有38%的高管表示,不穩定的宏觀經濟形勢會顯著影響他們今年的IT安全支出。相反地,48%的受訪者表示,他們日益增長的遠程辦公模式將產生重大影響,其次是供應鏈安全防護的問題(46%)。
參考鏈接:
https://www.helpnetsecurity.com/2024/01/03/cybersecurity-budgets-facts/
相關閱讀
