硅谷银行让世界经济陷入动荡，实际上，随着新冠疫情的开始，关于经济衰退的声音始终没有消散。Nicole Darden Ford表示，在疫情期间，她看到华盛顿特区的机场充斥着戴口罩的人。回到办公室后，公司的首席执行官和首席信息官告诉她，要在一周时间里想办法让员工远程工作。

据Darden Ford介绍，她所在的这家公司是以一家从大企业拆分出来的初创公司，当时正在准备过渡到云计算和IPO，能给到安全部门的经费少得可怜。有限的时间和资源是摆在Ford面前的两座大山，幸运的是，她翻了过去。现在，她已经是价值78亿美元的罗克韦尔自动化公司的全球副总裁兼CISO。

Darden Ford说，尽管网络安全看起来是不受经济衰退影响的，但CISO应该准备好在情况允许的情况下用更少的资源做更多的事情。为此，她建议CISO定期评估和削减安全经费，最大限度地利用资源，并降低关键业务资源的风险，同时支持数字化转型（这也可以带来更多的成本节约）。“哪里有数字化转型，哪里就有安全转型——两者齐头并进，”Darden Ford表示。

世界经济论坛（WEF）报告称，62%的经济学家预测2023年全球经济衰退的可能性有点大（45%）或极有可能（18%），而国际货币基金组织根据增长指标预测，全球三分之一的经济将陷入衰退。与此同时，2022年年底和2023年年初，科技行业类公司都出现了大规模裁员，虽然美国的就业市场依然强劲，但这改变不了资本的恐慌。任何衰退都可能是短暂的，但CISO要做好预算缩减的准备。

在新冠疫情、乌克兰战争和其他动荡的世界事件对全球经济的影响使传统的预测手段措手不及，准确预测出衰退指数变得非常困难。但是，CISO是可以寻找到衰减指数并提前做好支出缩减的准备。在英特尔工作了20多年的行业顾问Malcolm Harkins建议，CISO可以参加论坛并积极和同行讨论，这可以获得多方见解，并为此做好准备。Harkins表示，在过去的半年多时间里，他与多位同行进行了交流。这些同行反馈出来包括预算和人员削减，新的采购被推迟了等多个有价值的信息。

Harkins认为，无论经济衰退与否，CISO都应该将信息安全和风险管理视为一种经济效率。此前，Harkins是一位财务人员，用更少的钱做更多的事情贯彻了他的职业生涯。他表示，可以通过定期评估的方式，监测安全体系的工作效率和有效性，如果在投入支出之后并没有明显的效率或有效性的提高，要么取消支出，要么不再投入新的预算。

Harkins建议CISO重新审视他们的设计目标，就像企业设定收入、净收入、利润和市场份额的目标一样。例如，他认为，如果安全组织专注于减轻其最具影响力的漏洞，他们将节省至少30%的时间和精力来修补对其企业没有实质性影响的潜在事件。

Harkins在英特尔期间设计的安全目标是：无论是火灾、洪水还是核泄漏，都不会对业务连续性产生重大影响。在2010年，当McAfee的更新导致Windows XP在全球范围内崩溃时，英特尔仍然能够接收、处理和运送订单，设计师仍然能够完成他们的工作。一些非关键端点在几个小时内无法访问网络并不是什么大损失。

当CISO被要求用更少的资源做更多的事情，资产识别就变得尤为要。当下，很多组织尚未对资产进行识别和评估，安全工具和服务的浪费在所难免。Harkins表示，很多时候，纵深防御变成了纵深开支。

Darden Ford认为，减少安全工具的重复是一个很容易促进创新的领域。例如，组织上云可以让安全团队以更少的前期投资提供更多的安全性，并推动了组织上云的数字化转型。值得注意的是，那些一开始不是基于云原生架构的云平台已经被证明不如云原生构建的工具有效。

除此之外，组织不要与云供应商签订长期合同。Al Ghous在SnapDocs担任CISO时，继承了与一家大型安全平台供应商签订的一份昂贵的长期合同。Ghous表示，在评估合同中安全平台的效果后，他发现组织仅能从中获得10%的安全能力。因此，他不得不寻求替代方案，并在合同到期前进行试点，其中格外关注了覆盖范围和成本节约等问题。

SnapDocs是一个基于云的抵押贷款结算平台，Ghous正在为了业务寻找更有效的云原生安全工具。他指出，他们的平台一开始不是云原生的，而是逐渐向云方向进行改造。事实上，由于如此多的安全工具无法有效满足当今复杂的业务需求，Ghous通过CISO投资联盟CyberFuture的资助。该联盟由Elron Ventures组建，并得到Airbnb、Caribbean Cruises和HiBob等大公司的CISO的支持。

Ghous表示，CISO投资联盟中一直讨论的话题是，如何让安全支出更有价值。他认为，无论在何种宏观经济条件下，CISO都要将安全目标与组织的业务目标保持一致。因此，无论是在必要的安全投入还是其他安全投资计划，在与业务目标达成一致后，都会得到公司的支持。

Ghous还建议CISO与CFO保持一致，在支持风险和合规需求的前提下，调整安全的目标和效率。他认为，在医疗保健、金融和政府等监管严格的行业，只要围绕商业目标优先考虑支出，合规性就可以被用作证明支出合理性的杠杆。与Harkins一样，Ghous也表示，应定期（至少每年）对安全工具和服务的有效性进行评估，以持续节约成本和减少浪费。

人工智能信用分析公司Pagaya Technologies的全球CISO副总裁Yaniv Toledano建议，当现有工具可以整合、自动化和协调以用更少的钱做更多的事情时，不要为了追求新技术和新工具，花费不必要的钱。他表示，在当下最重要的是通过完善现有的控制措施来满足组织的安全需求，只要这些控制措施能够达到目标，就不必追求新的工具和技术。

Toledano表示，在新冠肺炎期间，Pagaya Technologies正处于高速发展阶段，并与美国一些最大的银行合作，这些银行要求严格其必须满足最高程度的网络安全和弹性框架需求，并要求Pagaya Technologies尽可能采用最成熟的安全流程。然而，在组织高速发展阶段，Pagaya Technologies能给到安全部门的预算很有限，因此，Toledano利用最有效的方式整合和协调现有工具，并达到了上述的要求。

Toledano提醒到，在安全预算减少时，要注意人才流失。他表示，为了在困难时期留住最优秀的员工，他会给员工一些很酷的项目，让他们保持兴趣。举个例子及，可以让他们直接参与成本节约措施，将他们分配到一流的安全研究中，在那里他们可以选择一些安全初创公司来研究未来的举措，以提高效率和有效性。

“即使在经济不景气的情况下，我们也不能忽视创新。”Toledano表示，安全从业者要不断进取，才能对自己的工作保持兴趣。除了现有的工作外，还可以寻求更具创新性的方式来完成工作和安全目标。

雾帜智能创始人黄承表示，预算问题一直是大家比较关注的重点。安全部门相比运营、商务等其他部门更容易被上级要求降低预算。在面对这种情况时，CISO可以考虑砍掉一切非人工预算，但一定要保留紧急预算。安全事件具有突发性，紧急预算能够有效保障当组织面对突发事件时，能够快速解决。例如，当产品出现质量问题时，无论付出多大的代价都要快速解决这一问题，安全也是如此。

某科技公司负责人表示，无论企业在加强其网络安全状况上花费多少资金，都无法保证完全保护。因此，最好的办法是部署一个多方面的网络安全计划，以提供持续保护。通过培训相关人员正确部署现有资源、经常测试并定期更新，以最大限度地利用现有的资源，以在意外发生时降低成本。

某安全专家建议，组织可以考虑开源情报资源。当前，安全厂商在开源情报社区方面的成熟度越来越高。如果将免费开放的开源情报与安全分析师等人员相结合，可以有效提高组织再面对威胁时的保障力度，同时还可以进一步降低成本。

利用开源资源必须强调可行，因为很多免费和开源的工具并不容易使用，在面对这种工具时，需要组织拥有更加专业的员工。因此，安全部门在预算有限的前提下，可以遵守以下规则：

1、将现有安全问题和资源问题与领导层充分说明，确保领导层意识到安全工具的重要性。

2、制定和落实更精细的安全工作计划。围绕威胁情报生命周期检查企业组织的目标，并确定实现目标所需的工具和数据。

3、充分利用企业内部资源，获取威胁情报数据。如果企业没有外部商业情报源，可以从自己的端点获取威胁情报数据，并反馈到在内部运行的威胁情报分析工具中。

预算问题是CISO面对的几个主要问题之一，任何组织都有自己的安全目标和安全规划，在经济逐渐复苏的当下，CISO需要制定更加详细和稳健的安全计划，并尝试利用合规来撬动安全预算，以保障企业获得更强大的安全能力。