在規劃2023年的網絡安全預算時，一些CISO可能會困惑于“從何開始”。保護企業免受網絡威脅的方式多種多樣且瞬息萬變，因此找出最緊迫風險的任務顯得至關重要。

不過，安全領導者還需開始考慮他們需要多少資金以及如何分配預算。咨詢公司West Monroe的網絡安全主管David Chaddock表示，“在宏觀層面上，當定義戰略目標和制定安全預算時，CISO應該知道，網絡安全現狀可能會使安全領導者深陷‘維持運營和推進新舉措’的兩難處境。雖然一些成熟度較高或遭受過網絡攻擊的企業，已經了解了變革的價值并且可能已經做好了準備，但不幸的現實是，大多數企業仍苦苦掙扎于用傳統預算滿足需求，而對安全的需求只會越來越大。”

以下是可能決定2023年預算的5大關鍵因素：

• 不斷變化的威脅形勢。
• 經濟趨勢及其對威脅行為者行為的影響。
• 地緣政治事件，例如俄烏戰爭。
• 不斷變化的政府和其他法規和指導。
• 不斷變化的網絡保險要求。

CISO需要慎重考慮這些因素，以便找出確保企業安全的最佳方法。

1、不斷變化的威脅形勢

網絡安全威脅格局正在不斷變化，而隨著新型勒索軟件威脅的出現、向云計算的持續發展以及勞動力模式的轉變，這種變化步伐似乎已經加快。其次，許多公司正在加速數字化轉型進程。

Gartner高級研究總監Ruggero Contu表示，“數字化轉型計劃進一步擴大了攻擊面。CISO預算必須滿足來自外部風險的新要求，而傳統預算的重點是關注內部基礎設施。”

Contu補充道，暴露的漏洞(例如未修補的服務器和互聯網連接設備中的開放端口)、云系統配置錯誤、泄露的關鍵信息(例如憑據)和受損資產(例如欺騙域和企業移動應用程序)都將是未來幾年的重點攻擊目標。

此外，端點設備的快速增長——包括物聯網 (IoT) 的增長——以及固有的安全風險也將影響預算。

Contu表示，制造、能源、運輸和醫療保健領域的安全預算將不得不專注于保護工業環境和系統免受IoT引入漏洞的影響，以及IT和運營技術 (OT) 的融合。

2、經濟趨勢導致網絡安全資源稀缺

經濟趨勢(尤其是通貨膨脹)可能會對網絡安全支出以及威脅行為者的行為產生重大影響。咨詢公司Plante Moran的合伙人兼網絡安全實踐負責人Raj Patel表示，網絡資源的稀缺加上通貨膨脹將是未來12到18個月網絡安全預算和支出增加的最重要因素。

他認為，“網絡人才來之不易，企業愿意為此付出代價。這也導致工資成本增加了至少10%到15%。由于資源稀缺，8-12年工作經驗的員工薪資增長幅度更大。至于安全產品和服務，在過去四年中，用于更好地管理網絡風險的工具和技術顯著增加。”

Chaddock補充道，貧富差距及其帶來的經濟不確定性也將不可避免地導致黑客行為和其他可能破壞穩定的網絡安全事件進一步增加。現在，隨著企業變得更加數字化并且越來越容易受到安全漏洞的影響，這種情況只會進一步加劇。

3、 地緣政治事件加劇安全風險

世界各地的事件，也許最引人注目的當屬俄羅斯和烏克蘭之間的戰爭，這可能會繼續對網絡安全和風險產生重大影響。對于某些行業尤為如此，例如政府和其他支持國家關鍵基礎設施的行業。

Patel解釋稱，“當前的地緣政治事件將攻擊者的形象轉變為國家資助的黑客，他們擁有深厚的技術技能和所需的資源來攻擊關鍵基礎設施和公司。”

West Monroe通過每季度對收入超過5億美元公司的250名C級高管進行調查，形成的最新季度《高管調查報告》顯示，當被問及“由于地緣政治和供應鏈不穩定，高管所屬公司今年正在考慮采取哪些行動”時，大多數高管 (60%) 表示，他們正在考慮增加支出或關注網絡安全，因為網絡戰已成為獲得競爭優勢的越來越常用的工具。

Chaddock補充道，民族國家贊助的針對烏克蘭的攻擊工具現在可以很容易地提供給更廣泛的受眾。而大多數企業都不具備充分的防護能力來抵御民族國家資助的攻擊活動。這意味著大多數安全計劃已經明顯落后，需要在運營資金之外進行大量投資以保持正常運轉。

4、不斷變化的監管要求

在過去幾年間，監管要求一直在變化，包括處理數據隱私的法律。Patel表示，遵守各種隱私法規和合同中的安全義務的成本正在上升。例如，一些合同可能需要第三方審計師進行獨立測試。由于通貨膨脹和工資上漲，審計師和顧問的費用也在不斷提高。

Chaddock認為，企業應該專注于建立強大的安全性，而非專門關注法規遵從性。當一個企業真正安全時，實現和維護合規性的成本應該也會降低。特別是對于那些支持關鍵基礎設施的企業來說，不斷發展的監管合規要求需要大量支持。

5、不斷變化的網絡保險要求和不斷上漲的成本

在經歷勒索軟件等廣為人知的攻擊之后，越來越多的企業開始購買或至少考慮購買網絡保險計劃。如果支付此類政策的費用超出了安全預算，CISO將需要考慮不斷上升的覆蓋成本和其他因素。

Patel表示，“網絡保險成本正在上漲20%到25%。企業可以通過降低覆蓋水平或增加免賠額來降低成本。不過，那將意味著承擔更多風險。一些保險公司會評估您的網絡控制以衡量您的保費。通過更好的控制，您也可以降低保費。”

Chaddock補充道，隨著時間的推移，公司應確保將網絡保險的成本包括在內，更重要的是與維護有效和安全的備份/恢復能力相關的成本。“雙重勒索”時代的到來已經致使許多目標企業陷入財務困境。那些具有安全和彈性備份和恢復能力的企業，受到網絡事件實質性影響的可能性要小得多。