在咱们中国,有句话叫:年到头月到尾。是这个年周期总结的月份,也是一个下一个年周期开始谋划的月份。那么,在网络安全领域,如何把我明年的决策呢?在IBM的网站上有这么一篇文章,可以参考。虽然各个国家都有自己的实际情况,不过有些方法论是放之四海而皆准的,我们通过拿来主义一起看看2025如何明智的考虑网络安全支出。
![]()
十二月一年之末,也是一岁将始。但对于企业领导者来说,本月最重要的数字是 2025 年的预算数字。由于网络安全是 2025 年许多企业的首要关注点,因此它很可能成为新年许多预算中的头条项目。Gartner 预计,到 2025 年,网络安全支出预计将增长 15%,从 1,839 亿美元增至 2,120 亿美元。安全服务是支出增长最快的领域,安全软件位居第二,网络安全是第三大增长领域。Gartner 高级研究主管 Shailendra Upadhyay 在最近的新闻稿中表示:“持续加剧的威胁环境、云迁移和人才短缺将安全推到了优先事项的首位,并迫使首席信息安全官 (CISO) 增加其组织的安全支出。” “此外,组织目前正在评估其端点保护平台 (EPP) 和端点检测和响应 (EDR)需求,并在 CrowdStrike 中断后 进行调整以提高其运营弹性和事件响应。”导致支出增加的因素
尽管支出决策和增长可能出于多种不同的原因,但 Gartner 指出了预测增长的两个主要原因。- 生成式人工智能: Garter 表示,由于组织使用生成式人工智能,他们将需要采取额外措施来保护其环境。IBM生成式人工智能安全框架列出了五个步骤:保护数据、保护模型、保护使用、保护人工智能模型基础设施和建立健全的人工智能治理。由于生成式人工智能的使用增加,许多组织将需要购买额外的软件,例如应用程序安全、数据安全以及隐私和基础设施保护。
- 全球技能短缺:许多组织都面临技能短缺的问题,他们没有内部人才来管理他们的网络安全需求。作为一种解决方案,许多组织正在聘请帮助来降低风险,例如安全咨询服务、安全专业服务和托管安全服务。Gartner 指出,这些服务的成本是预计支出较高的一个驱动因素,使服务成为网络安全的一个高增长领域。
创建网络安全预算
准确的预算编制不应只是简单地在组织的预算中列出包含网络安全的单独项目,而应从列出有效网络安全计划的所有组成部分开始。劳动力成本:除了所有全职员工的工资外,还要考虑您需要购买的任何额外服务。例如,外包渗透测试就属于这一类。此外,考虑您是否需要为网络安全的任何部分聘请托管服务。
技术:考虑所需的所有类型的软件,包括防病毒软件、加密工具和防火墙。考虑您是否将使用生成式人工智能来保障网络安全,以及保护组织免受用于日常业务任务的生成式人工智能工具攻击所需的其他工具。一定要包括硬件成本,例如运行任何新技术工具(尤其是生成式人工智能)所需的任何基础设施升级。
培训:许多组织只考虑为网络安全员工提供培训和认证的预算。但是,一定要为整个组织分配网络安全培训资金。通过跳出固有思维模式并留出足够的资金,您可以大大减少因员工失误而导致的网络攻击。
事件响应:发生违规或攻击后,组织需要资金来控制违规并管理响应。经常发生的成本包括法律费用、公关公司费用、加班费、数据泄露通知、身份盗窃保护和收入损失。
预算可能会影响员工压力
虽然许多组织在制定网络安全预算时会考虑业务中断和潜在风险,但许多组织忽视了预算对网络安全团队的影响。ISACA 2024年及以后网络安全状况调查发现,66% 的网络安全专业人员表示他们的角色压力更大。毫不奇怪,首要原因 (81%) 是威胁形势日益复杂。然而,预算太低 (45%) 与招聘留任挑战加剧和员工缺乏技能/培训并列第二。报告发现,超过一半(51%)的人认为他们的预算资金不足,高于 2023 年持这种观点的 47%。此外,只有 37% 的人预计他们的预算将在 2025 年增加。更令人紧张的是,只有 40% 的人高度相信他们的团队已做好应对网络攻击的准备。与此同时,47% 的人预计他们的组织会遭受网络攻击。制定 2025 年预算的同时减轻员工压力
当企业领导者制定预算时,这里有一些方法可以减轻与 2025 年预算相关的员工压力。虽然网络安全支出的增加总体上是一个积极的趋势,但最重要的是公司如何使用这些增加的投资。通过为您的特定组织做出正确的选择,您可以降低风险,同时提高员工满意度。
— 欢迎关注 往期回顾 —
230个网络和数据安全相关法律法规规范文件打包下载
网络安全等级保护:等级保护的概念
网络安全等级保护:等级保护工作的内涵
网络安全等级保护:开展网络等级保护工作的流程
网络安全等级保护:贯彻落实网络安全等级保护制度的原则
网络安全等级保护:开展网络安全等级保护工作的法律依据
网络安全等级保护:开展网络安全等级保护工作的政策依据
网络安全等级保护:开展网络安全等级保护工作的标准依据
网络安全等级保护:等级保护工作从定级到备案
网络安全等级保护:网络总体安全规划很重要
网络安全等级保护:一定要做好网络安全运行与维护
网络安全等级保护:应急响应与保障是法定要求
网络安全等级保护:如何正确处理终止的等级保护对象
网络安全等级保护:政策与技术“七一”大合集100+篇
网络安全等级保护:安全管理机构
网络安全等级保护:网络安全事件分类分级思维导图
网络安全等级保护:明确测评双方的责任从了解测评过程指南开始(思维导图下载)
>>>数据安全系列<<<
警惕风险突出的100个高危漏洞(上)
警惕风险突出的100个高危漏洞(下)
警惕“两高一弱”风险及安全防护提示(全集)
不履行网络安全保护义务是违法行为!多家单位被通报!
因侵犯公民个人信息罪 深圳一人被判一年三个月 售卖他人求职简历
公安部网安局:河南开展整治网络谣言专项行动 查处造谣传谣3000余人
四川遂宁公安公布10起涉网违法犯罪典型案例
276人落网!河南新乡警方摧毁特大“网络水军”犯罪团伙
非法出售公民个人信息 网站经营者被判三年有期徒刑
超范围采集公民信息,违法!鹤壁网警出手
一公司高管为泄愤攻击智慧停车收费系统,致上千家停车场无法自动抬杆
重庆某国企因网安责任人履职不到位被约谈
回顾长沙市三个区网信开出首张罚单的不同时间和处罚单位类型
上海4人被判刑:5元掌握明星偶像行程?贩卖明星信息4人被判刑!
假期内,网络主播直播约架?郑州警方迅速控制,刑拘十人!网络空间不是法外之地!
网安局:拒不履行网络安全保护义务,处罚!事关备案!
网络水军团灭记:“转评赞”狂刷单 上百人“网络水军”团伙落网
北京多家公司因不履行网络安全保护义务被处罚!“两高一弱”仍然是安全隐患重点
>>>其他<<<
2023年10佳免费网络威胁情报来源和工具
重大网络安全事件事后工作很重要
默认安全:对现代企业意味着什么
网络安全知识:什么是事件响应?
网络安全知识:什么是攻击面?
网络安全知识:什么是访问控制列表 (ACL)?
网络安全知识:什么是访问管理?
网络安全知识:什么是访问矩阵?
网络安全知识:什么是账户收集?
网络安全知识:什么是工业控制系统 (ICS) 网络安全?
网络安全知识:什么是暴力攻击?
网络安全知识:什么是安全审计?
网络安全知识:什么是分组密码?
网络安全知识:什么是僵尸网络?
网络安全知识:什么是非对称加密?
网络安全知识:什么是边界网关协议 (BGP)?
网络安全知识:什么是缓冲区溢出?
网络安全知识:网络安全中的EDR是什么?
网络安全知识:什么是身份验证?
网络安全知识:什么是勒索软件?
网络安全知识:什么是授权?
网络安全知识:什么是自治系统?
网络安全知识:什么是蓝队?
网络安全知识:什么是Bind Shell?
网络安全知识:什么是安全网关?
网络安全知识:什么是蓝队?
网络安全知识:什么是防病毒产品?
网络安全知识:什么是横幅抓取?
网络安全知识:什么是堡垒主机?
网络安全知识:什么是引导扇区病毒?
网络安全知识:计算机网络中的桥接器
网络安全知识:什么是广播?
网络安全知识:什么是业务连续性计划?
网络安全知识:什么是基于证书的身份验证?
网络安全知识:什么是CIA三要素 (机密性、完整性、可用性)?
网络安全知识:什么是补丁管理?
网络安全知识:什么是跨站请求伪造?
网络安全知识:什么是基于域的消息认证、报告和一致性 (DMARC)?
网络安全知识:什么是拒绝服务(DoS)攻击?
网络安全知识:什么是端到端加密 (E2EE)?
将人类从网络安全中解放出来
人,是造成网络安全问题的根本原因
