安全和风险主管如何做好准备应对预算缩减

疫情在全球爆发后，一家大型科技公司的首席信息官（CIO）要求首席信息安全官（CISO）削减10%的开支。遗憾的是，由于预算经验有限，并且在不确定时期缺乏战略规划，降低成本和更广泛地优化成本成为了CISO的挑战。此外，CISO只注重降低成本，而没有制定成本优化战略，因此可能错失潜在的机会。

安全和风险管理（SRM）主管需要制定有效的成本优化战略，帮助他们提前做好准备，应对预算削减，其中包括构建适应性强的“预算场景”，并平衡各项工作，以确保他们的预算组合能推动效率和生产力的提升以及优化工作。通过结合利用这两个计划，CISO将准备好应对CIO所做的任何预算调整，从而成功确保业务连续性，并为企业增加整体价值。

提升业务成果

到2023年，CISO 30%的绩效将直接根据他们为企业创造价值的能力来衡量。

为了在削减预算的同时，专注于优化工作，CISO应该探索备用的交付平台，进行外包，增加支出，留住员工和其他机制。但由于主管往往对预算压力准备不足，适应这种新的预算模式可能会很困难。

SRM主管可以利用这两种技术，更深入地理解整个企业的成本优化计划。

平衡成本优化工作，确保您不只是关注“减少支出”

有效的成本优化战略旨在跨越大型服务组合平衡各项工作。通常，相比简单的削减开支，一个更具战略性的改变可以帮助您长期节约成本，而企业主管一开始可能都没有意识到有这样的机会。如果整体成本优化工作失衡，也就是您过度关注一个部分而不是均匀地分配精力，成本优化工作就不会那么有效。Gartner提出了四条路径，您可以选择一条路径，也可以选择多条路径：

合同管理
在经济不稳定的时期，您必须做出牺牲和让步。例如，您可能需要创造性地结合利用开源服务和付费服务。您可能决定放弃您的本地安全运营中心，转而使用优先采用SaaS模式的混合模式，目的是降低单位成本。

节省安全/IT成本

企业主管需要挖掘减少或消除基线成本的机会。例如，考虑自动执行/筛选手动任务（如日志管理）或外包运营职能（如监控托管安全服务提供商，目的是提高技术效率）。

您还可以调整企业结构，将安全职能（如架构、系统工程和开发）委托给IT企业的相关团队。

同时节省业务成本和安全成本

这里的成本优化工作应该通过革新、不同的交付平台和备用的获取模式，对职能部门和企业产生双重影响。例如，您可能决定在密码访问协议中做出让步，实施自助式密码重设工具。

业务优化

这个领域往往会产生价值。例如，您可能决定采用由业务所有者和HR部门执行的新身份配置系统。

这些路径还将突出企业是否混合了成本节约和其他优化技术（如业务重组和创新），帮助企业做好恢复增长的准备。

“构建适应性强的‘预算场景’，反映SRM职能的真实情况”

为了在需要的时候制定运营决策，您需要构建可定期执行的适应性强的预算场景。这种情况下，CISO必须与财务团队和合作伙伴在总体成本优化流程方面保持一致。团队应该采用三种方法，创建每个预算场景：

基本情况（长期影响）

这通常与所有部门在较长时间内一致削减预算有关，以确保优化成本。这项工作应该瞄准对业务目标造成最小伤害的投资。例如，B安全部门被要求在下一年每个季度削减10%的开支。

最坏的情况（立即行动）

这通常与大幅削减预算有关，以确保企业能够立即生存下来。专注于基本和必要的投资，让你在生存模式下运转。例如，A部门被要求在第二季度结束前将支出削减一半。

最好的情况（维持当前支出）

最好的情况是，无论当前环境如何，企业都不会削减预算。企业应该保持最佳实践。如果投资对于高价值业务部门至关重要，那么花在这项投资上的成本应该保留。例如，C安全部门被要求维持预算，但他们需要明确地专注于交付业务价值。

成本优化计划都伴随着机会成本和风险，每一个计划都代表着一些取舍。SRM主管还可以探索三步行动计划，采用积极主动的方法管理成本，并投资构筑企业未来。