Question

1.安全预算比例

安全预算的第一个问题是，安全投入占 IT 投入比例多少是合适的？2015 年麦肯锡公司调研了 45 个全球 500 强公司（如图 10-1 所示），中位数是 3%，最多的是 10%。

图 10-1　安全预算占 IT 投入比

另外一份调查报告《IT Security Spending Trends（SANS 2016）》显示，公司全年的 IT 预算用于安全性的百分比，最低的范围是 0~3%的公司数量，而预算在 4%~6%、10%~12%的公司三年时间（2014—2016）内逐步增加。

上述统计数据基本是基于国外公司的数据，笔者没有看到国内公开的相关数据，金融行业如银行、证券业的安全投入约占 IT 投入的 5%，少数比较重视的会达到 7%~10%。

安全投入的另一个趋势是，由于面临安全环境不断地恶化和监管要求的日益提升，安全预算一直处于快速增长中，且普遍高于 IT 预算的增长幅度。

2.预算分配

企业信息安全预算该怎么花？《IT Security Spending Trends（SANS 2016）》显示（见表 10-1），预算投入领域排前三的分别是：保护和预防、检测和响应、合规和审计。

表 10-1　安全预算投入领域

吴瀚清先生（道哥）曾经提到一个“三三三原则”：1/3 投入到外部情报收集，这是来自外部的红军，包括众测和 SRC 的建设；1/3 投入到安全感知系统建设，只有先看到，才能实施有效防御（特别是防御能力往往会落后于感知能力，所以要解耦）；1/3 投入到防御系统的建设。笔者实践总结出“五四一原则”：50%用于新增各种安全 Sensor 的建设，安全 Sensor 是各种安全态势感知、安全监测的设备、产品和服务的统称。安全感知系统其实就是一个由粗到细的过程，原来没办法监测的安全空白区通过研发和部署新的监测工具实现安全监测并转入安全运营。40%用于维护和补充各种现有安全运维所需。10%用于人的建设，包括面向不同层级对象的安全培训，对企业高层的安全宣导，开发运维人员的安全技能培训，以及最重要的安全团队人员的安全技能提升。

3.ROI 和 TCO

衡量安全预算管理成效的两个重要指标是：投资回报（ROI）和总拥有成本（TCO）。

1）投资回报（Return on Investment，ROI），即投入产出比。早期用来判定投资工厂或购买铁路相关的成本是否合理，现被广泛使用在各个领域，在安全领域则用于衡量信息安全投入的产出效益情况。目前 IT 投入的 ROI 不一定都能衡量出来，安全投入这块怎么算才是合理的？一般分成财务收益和非财务收益：

·财务收益，可以减少资损（创收），降低系统性能压力（降本），比如业务安全中打击羊毛党，既降低了费用损失，也减少系统无效性能开销；又比如风控系统做好了，以前需要发验证码的交易，现在不用发了，既提升了客户体验，又大幅降低验证码费用。例如，某行风控系统上线后，验证码发送率降低七成，短时间节约几千万费用。

·非财务收益，从合规性（监管检查无不符合项）、提高安全性、提升用户体验（同人模型降低安全交付认证复杂度）、安全应急和危机公关（保持和提升品牌公信力）等衡量安全性的指标，除了过程指标，如防病毒安装率、正常更新率、检出率和攻防对抗成功率外，还有最重要的两个结果指标，即非自身发现的安全漏洞数和安全事件数。

2）总拥有成本（Total Cost of Ownership，TCO），用来帮助企业更好地衡量和管理 IT 投资所产生的价值及其全部成本，指从拥有某种产品开始，直到停止使用该产品期间的所有与其相关的投入成本。TCO 分析的目的是，识别、量化并最终减少包括相关成本在内的总拥有成本。TCO 包括三部分：资本支出、运维成本和机会成本。

比如，我们决策建设安全运营体系，包括购买和部署安全运营平台所需的硬件和软件（资本支出），安全运营所需的人力和运维服务（运维成本）。计算运维成本中很容易遗漏和不重视的是管理成本，遇到一个安全缺陷，最佳的是通过自动化技术解决，不能自动化技术解决，则要通过管理方式解决，两者成本是不同的。再比如，我们在安全运营中创建 UseCase 时，一定要考虑 UseCase 能否运营，考虑因素包括误报率和日均工单数量，只有小于一定数量，运维成本才可控。机会成本是一个不可见、非常难量化的部分。例如，因关键网络设备故障所引起的营收损失，因不能快速承载新业务来满足客户的新需求而导致的利润流失等。

在绝大多数情形下，计算总拥有成本是一个需要持续努力的过程，它既需要考虑技术方面的因素，又要兼顾非技术方面的因素，最好通过至少 3 年的时间范围来计算 TCO。TCO 的好处是，在决策初期提供了一种强有力的成本估算方法，但这种估算方法只看重成本，所以如果过度看重 TCO，将使公司和安全团队最终采取将开支减到最少的策略，而较少考虑如何最大限度获得回报的策略，实践中应注意规避 TCO 带来的不利影响。

4.注意事项

虽然最佳 ROI 难以衡量，但绝大多数公司和决策者不会拿出收入的 50%去进行安全建设，安全管理水平不能超越企业经营能力，或者说不能超越太多。大部分金融企业追求的是：

·与自身规模和行业排名相匹配的安全能力。

·将安全压制在较低的合格线及底线。

因此大部分决策层表态重视安全，但在和业务发展冲突时会权衡，因此安全负责人要对此有所预知并理解，实际上安全能力提高了，管理层和客户大部分是无感的，安全很多时候难做就在于此。某些安全同仁在安全汇报中尝试归纳一些正向指标，比如业务漏洞数下降了 X%，但其实这些是过程指标，最终目标还是“不出事”，最后索性就用了减分的方法。这应该是大部分金融企业的做法。从这点大家就能感觉到，信息安全做得再好，好像也没法加分，出个小纰漏，就是负分，这是行业特性，很难改变。