安全领导者必须通过论证投资回报率与聚焦风险叙事来抵制不合理的预算削减。近期一项针对CISO群体的调研揭示了哪些削减措施更容易引发安全后果。

01

安全预算不足将引发非对称风险

根据Splunk委托开展的一项覆盖欧美、澳日地区600名CISO的调研显示，董事会与安全领导者之间存在话语体系与优先级鸿沟。CISO正面临双重压力：既要控制支出、推进职能外包，又需证明安全投入的商业价值。研究表明，支持技术升级、安全培训及业务创新的预算缺口，将导致企业面临远超出预期的攻击风险。

该调研发现，某些领域的预算缩减（例如员工培训与技术升级延期）相比其他措施更易引发实质性安全事件。这些来自同行的洞察可帮助CISO构建更具说服力的风险导向论述，以应对董事会的削减提案；或在预算紧缩时优化自身投资决策。

预算不足对各措施的影响量化

02

技术升级延期

随着网络威胁加速演进，推迟关键技术升级将对企业构成系统性威胁。技术更新的核心价值在于增强安全防御能力，并直接应对最新威胁挑战。

Splunk现场首席技术官Kirsty Paine指出："过时系统缺乏支撑现代化架构（例如云迁移）的新特性。若缺失新安全功能，云环境数据迁移可能暴露更多攻击面。"此外，技术升级延期迫使企业依赖遗留系统，导致安全债务持续累积。数据显示，62%的CISO认为技术延期升级直接导致了安全事件。

03

安全培训缩减

预算削减常迫使企业压缩甚至取消培训计划，致使员工缺乏识别潜在威胁的能力。这种决策往往引发灾难性后果——人为错误（如配置失误）已成为业务中断与收入损失的主因之一，而安全文化缺失更会弱化组织整体防御韧性。

Paine强调："安全培训是降低人为错误、提升钓鱼攻击识别能力的关键。取消培训将显著增加入侵风险。"36%的CISO承认因预算限制削减培训，其中45%的企业因此遭遇攻击。

04

业务创新支持缺位

当安全团队缺乏必要资源支持业务创新时，安全能力与业务需求将出现严重错配。这种现象在追逐效率的数字化进程中尤为突出，例如近期AI技术浪潮中，大量企业为抢占先机而跳过传统安全加固措施。

Paine解释："无论是新产品研发、远程办公转型，还是其他业务创新，若缺乏安全团队的早期介入，这些项目往往在设计阶段就埋下隐患。事后补救已被证实远低于安全左移策略的有效性。"虽然仅18%的CISO报告相关预算不足，但其中64%的企业因此遭受攻击。

05

组织内的认知鸿沟

Splunk《CISO年度报告》揭示：41%的董事会认为安全预算充足，而持此观点的CISO仅占29%。Paine分析称："董事会常将安全预算视为战术支出，忽视其对业务的战略影响。CISO需将安全工作价值转化为营收保护、品牌声誉维护等商业成果术语。"

Splunk建议，双方需在利益相关方关注领域寻求共识。Paine补充："CISO应聚焦风险削减与投资回报率（ROI）提升，而非技术指标（如MTTR）。用董事会熟悉的商业语言沟通安全价值。"

06

安全投入合理性论证

趋势科技英国网络安全总监Jonathan Lee指出，多数企业仍将安全支出视为可压缩的成本项，而非支撑增长的战略投资。"仅三分之一企业的董事会具备网络安全专业知识，必须破除高管的乐观偏见，通过战略级安全措施系统性降低漏洞风险。"

Bugcrowd美洲区CISO Trey Ford坦言，经济下行加剧预算压力，但安全预算削减将危及既有项目安全。"冻结编制将加剧告警疲劳与团队倦怠，工具与项目资金短缺则会削弱漏洞监测能力。被砍项目多涉及风险委员会优先事项，需重新进行风险接受评估并报备董事会。"

07

构建风险共识与沟通框架

ImmuniWeb CEO Ilia Kolochenko强调，企业需制定连贯的网络安全战略："多数组织存在供应商解决方案冗余，却缺乏告警分诊与事件响应能力。更严重的是，极少企业具备覆盖第三方风险管理、多云环境配置错误、容器安全、生成式AI风险（如工程师过度依赖含漏洞的AI生成代码）的长期安全战略。"

One Identity现场战略师Alan Radford总结道："有效的企业安全不是购买最昂贵工具，而是通过技术-流程-人员协同降低风险。安全领导者需向董事会阐明：风险削减取决于运营韧性，对人员培训与流程就绪的投资回报率远高于单一技术采购。"