调查：安全预算有限，到底该花在哪里？

目前，情报与网络安全咨询公司S-RM发布《网络安全洞察报告2023》，报告显示，企业在决定网络安全预算分配时都会寻求“高性价比”，并且“更为重视从现有资源获取价值”。

五大高价值投资领域

01 五大安全领域投资占比动态变化

该报告综合了600位大型企业业务高管和高级IT专业人员的反馈，发现五大投资领域分别是网络安全技术（49%）、威胁情报（46%）、风险评估（42%）、网络保险（42%）和第三方风险管理（40%）。网络安全技术投资从2022年（58%）到2023年（49%）可以看出在减少，反映出业界意识到技术投资应与对治理和人员的投资携手并进，这样才能有效启用和管理技术。

相对于业务高管，这种意识在IT专业人员中可能更为普遍，因为IT专业人员忙于安全运营的日常琐事。调研结果显示，43%的IT专业人士将技术视为“高价值”投资领域，而高管这么认为的比例为56%。

在网络保险领域，这种差异更为明显，48%的业务高管认为拥有网络保险物超所值，而这么认为的IT专业人士只有36%。报告推测，产生这种差异的原因可能是高管关注安全事件所造成的潜在业务中断和监管及声誉影响，而不仅仅是IT基础设施损坏。业务高管也更容易依靠保险来减轻更多损失，不仅仅是技术基础设施修复相关的成本。

02 不同行业安全投资差异明显

近三分之一（31%）的受访者表示，缺乏预算是主要安全挑战之一，清晰反映出其所得预算与其想要的预算不符。报告显示，2023年，网络安全预算大约占企业总体IT预算的四分之一：

• 金融服务业（25%）

• 采矿、石油和天然气钻探以及林业的采掘业（25%）

• 法律行业（24%）

• 保险业（24%）

有少数行业的网络安全预算略高于其整体IT预算的四分之一：

• 零售业（28%）

• 电信业（27%）

• 制药业（27%）

• 私募股权（26%）

相对而言，能源和公用事业部门的网络安全投资尤为不足（18%）。

03 安全预算增长低于预期

报告指出，预期与现实的差距多年来一直如此。

大型企业平均网络安全预算同比增长3%，低于受访者预测的2023年5%的增长。受访者曾预计2022年网络安全预算会增长8%，但实际增长率仅为5.1%。

由此推测，2024年的预算增长可能也会比预期的8%更少。

企业也认识到，投资技术也意味着要安排合适的人才。受访者表示，预计会增加投入到人员方面的安全预算，提高现有安全团队技术（42%）和招聘高技能安全人员（41%）方面增加预算的占比几乎相同。

报告下载：情报与网络安全咨询公司S-RM《网络安全洞察报告2023》

https://www.s-rminform.com/cyber-security-insights-report-2023

* 本文为nana编译，原文地址：https://www.darkreading.com/tech-trends/cybersecurity-investment-more-than-technology