去年又是重大數據洩露頻發的一年,安全問題成為了每家公司管理層肯定會考慮的事項之一。
安全相關的各種考慮中,最重要的或許就是到底要花多少錢才能在大範圍網絡攻擊和數據洩露時代有效保護公司數據了。
埃森哲諮詢公司發佈的《2017網絡犯罪損失》)顯示,2017年網絡安全支出比上一年度增長23%。大部分支出源於網絡攻擊頻率及其所造成損失的增長,每起安全事件導致的平均損失高達100萬美元。
為避免網絡安全事件造成的破壞和損失,公司企業需建立周全而明智的安全預算,該預算需考慮到自身主要安全漏洞,又有助於強化自身防禦。
本文將信息及網絡安全支出分為兩類:合規和恢復,併為公司企業奉上以這兩類支出為指引的最佳安全預算方法。
區分合規支出與恢復支出
建立安全預算的第一步,就是區分安全相關支出的兩大主要門類:合規支出與恢復支出。
合規支出
是為滿足安全政策或規定而產生的預防性開支。合規支出主要與預防措施相關,比如防火牆、安全軟件投資、員工培訓項目等。
合規支出大部分都會編入預算,而公司預算中包含的合規支出數額最好來自於決策者對安全資源分配領域深思熟慮的結果。
恢復支出
則是由安全問題導致的開支。恢復支出涵蓋較廣,包含了源於數據洩露或各類攻擊所致的全部開支,比如盜竊、勒索、商機喪失,還有為恢復信譽而做的公關努力。
為網絡攻擊做預算非常難,因為其所造成的損失取決於多種因素,比如攻擊的嚴重性,以及公司是否做好了網絡攻擊恢復預案。
合規與恢復相比,前者明顯更好做也更可取,因為它是有規劃的支出,而且一般比恢復要便宜些。企業安全數據交換解決方案提供商Globalscape表示,不合規的代價,或者說不遵從政策規定的後果,大大超過合規的成本。
合規開支高未必能降低恢復成本。但是,更高的合規支出可以讓公司更好地避免恢復支出。
安全預算基於審計
凡事預而後立,在往安全中投入任何資源之前,需對公司基礎設施中的全部安全終端進行審計,確定自己預算的重點都在哪裡。
進行審計可以讓公司瞭解主要漏洞,認清安全投資應重點放在什麼控制措施上。
比如說,如果你在審計中發現公司安全漏洞集中在糟糕的網絡管理上,比如僱員出差或在家辦公時經常不用VPN連接公司系統,你就可以把你的預算落在解決網絡接入的缺陷上,比如重新配置設備,只允許經由VPN或安全網絡連接公司系統。
安全預算要考慮安全人才短缺情況
網絡威脅態勢引出了所有公司企業在制定安全預算的時候都需要考慮的兩大安全現實。
第一個就是網絡安全人才短缺,或者說當前市場上合格網絡安全人才的缺乏。第二個殘酷的現實是,隨著網絡罪犯人數的倍增和技術的改進,公司企業遭受網絡攻擊的可能性也大大增加了。
因為缺乏確切的解決方案,這兩個問題目前都相當嚴峻。網絡安全人才短缺的核心問題在於有能力的網絡安全僱員供小於求,誰都不能憑空造出大量人才來填補該領域的人才短缺。
而且,網絡罪犯的擴張也沒有多少阻力,尤其是在當今全球聯網的世界,很多攻擊都是在受害公司或組織的監管範圍之外發起的。
這兩大威脅還相互促進:網絡安全人才短缺增加了公司遭到網絡攻擊的幾率。信息系統安全聯盟(ISSA)的研究表明,缺乏足夠的網絡人才,事實上給約20%的公司招致了網絡攻擊。另外,網絡安全人才缺口在安全分析領域尤其大,這使得公司企業更加難以確定自身脆弱領域,不能有效標定其安全投資。
基於此,公司企業應將網絡安全人才短缺納入安全預算考慮之中。如果不知道怎樣合理制定安全預算,可以求助網絡安全公司和安全顧問等外部資源。雖然這些資源也是要花錢僱的,但在專業安全分析上的初始投資,最終將為你省去遭遇網絡攻擊的大筆恢復支出。
明智的預算催生健壯的網絡安全策略
被大型網絡安全事件屢屢驚嚇的一年過後,安全預算應成為公司企業2018重大事項之一。為周全應對未來一年可能遭遇的安全威脅,公司企業需要制定明智的安全預算。
恰當的安全預算來自於公司對安全相關的兩大主要開支的考慮:合規支出與恢復支出。
想要有效規劃合規支出,公司需瞭解當前網絡威脅態勢的嚴重性,可進行審計以發現公司最大安全漏洞,並將安全預算導引向補強這些短板上。
此外,公司還需對恢復支出採取務實的方法和預算。網絡攻擊越普遍,公司企業最終淪為受害者的可能性越高。建立恢復預算以應對數據洩露或網絡攻擊事件是必要的,這為遭到攻擊的情況預留資源可以減小公司所受的衝擊。
建立明智的預算可以令公司企業制定出健壯的網絡安全策略。而強大的策略來自明智的安全投資控制和訓練有素的員工基礎。
安全預算設計得越好,公司就越安全,越能應對面臨的網絡安全威脅。
閱讀更多 閏業學院 的文章
