安全和风险主管如何做好准备应对预算缩减

2020年7月7日

作者:Beth Wasko

并不是所有企业都为削减预算、优化计划或合同谈判等做好了准备。安全和风险管理主管需要一个计划,在降低成本和实现优化之间找到一个平衡点。

疫情在全球爆发后,一家大型科技公司的首席信息官(CIO)要求首席信息安全官(CISO)削减10%的开支。遗憾的是,由于预算经验有限,并且在不确定时期缺乏战略规划,降低成本和更广泛地优化成本成为了CISO的挑战。此外,CISO只注重降低成本,而没有制定成本优化战略,因此可能错失潜在的机会。

“到2023年,CISO 30%的绩效将直接根据他们为企业创造价值的能力来衡量”

安全和风险管理(SRM)主管需要制定有效的成本优化战略,帮助他们提前做好准备,应对预算削减,其中包括构建适应性强的“预算场景”,并平衡各项工作,以确保他们的预算组合能推动效率和生产力的提升以及优化工作。通过结合利用这两个计划,CISO将准备好应对CIO所做的任何预算调整,从而成功确保业务连续性,并为企业增加整体价值。

提升业务成果


到2023年,CISO 30%的绩效将直接根据他们为企业创造价值的能力来衡量。

为了在削减预算的同时,专注于优化工作,CISO应该探索备用的交付平台,进行外包,增加支出,留住员工和其他机制。但由于主管往往对预算压力准备不足,适应这种新的预算模式可能会很困难。

SRM主管可以利用这两种技术,更深入地理解整个企业的成本优化计划。

平衡成本优化工作,确保您不只是关注“减少支出”

有效的成本优化战略旨在跨越大型服务组合平衡各项工作。通常,相比简单的削减开支,一个更具战略性的改变可以帮助您长期节约成本,而企业主管一开始可能都没有意识到有这样的机会。如果整体成本优化工作失衡,也就是您过度关注一个部分而不是均匀地分配精力,成本优化工作就不会那么有效。Gartner提出了四条路径,您可以选择一条路径,也可以选择多条路径:

合同管理
在经济不稳定的时期,您必须做出牺牲和让步。例如,您可能需要创造性地结合利用开源服务和付费服务。您可能决定放弃您的本地安全运营中心,转而使用优先采用SaaS模式的混合模式,目的是降低单位成本。

节省安全/IT成本

企业主管需要挖掘减少或消除基线成本的机会。例如,考虑自动执行/筛选手动任务(如日志管理)或外包运营职能(如监控托管安全服务提供商,目的是提高技术效率)。

您还可以调整企业结构,将安全职能(如架构、系统工程和开发)委托给IT企业的相关团队。

同时节省业务成本和安全成本

这里的成本优化工作应该通过革新、不同的交付平台和备用的获取模式,对职能部门和企业产生双重影响。例如,您可能决定在密码访问协议中做出让步,实施自助式密码重设工具。

业务优化

这个领域往往会产生价值。例如,您可能决定采用由业务所有者和HR部门执行的新身份配置系统。

这些路径还将突出企业是否混合了成本节约和其他优化技术(如业务重组和创新),帮助企业做好恢复增长的准备。

“构建适应性强的‘预算场景’,反映SRM职能的真实情况”


为了在需要的时候制定运营决策,您需要构建可定期执行的适应性强的预算场景。这种情况下,CISO必须与财务团队和合作伙伴在总体成本优化流程方面保持一致。团队应该采用三种方法,创建每个预算场景:

基本情况(长期影响)

这通常与所有部门在较长时间内一致削减预算有关,以确保优化成本。这项工作应该瞄准对业务目标造成最小伤害的投资。例如,B安全部门被要求在下一年每个季度削减10%的开支。

最坏的情况(立即行动)

这通常与大幅削减预算有关,以确保企业能够立即生存下来。专注于基本和必要的投资,让你在生存模式下运转。例如,A部门被要求在第二季度结束前将支出削减一半。

最好的情况(维持当前支出)

最好的情况是,无论当前环境如何,企业都不会削减预算。企业应该保持最佳实践。如果投资对于高价值业务部门至关重要,那么花在这项投资上的成本应该保留。例如,C安全部门被要求维持预算,但他们需要明确地专注于交付业务价值。

成本优化计划都伴随着机会成本和风险,每一个计划都代表着一些取舍。SRM主管还可以探索三步行动计划,采用积极主动的方法管理成本,并投资构筑企业未来。

或许您还感兴趣

Gartner服务于全球100多个国家和地区的14,000余家机构,是一家深受客户信赖、观点客观的研究顾问公司。

我们的洞察、建议和工具可帮助您发现创新机遇,完成关键优先任务,助您成为企业不可或缺的战略专家和价值创造者。