2018網絡安全預算:到底花多少錢才能有效保護企業

發布日期:2018-01-16首頁 > IT資(zī)訊

去(qù)年又(yòu)是重大(dà)數據洩露頻(pín)發的一(yī)年,安全問題成爲了每家公司管理層肯定會考慮的事項之一(yī)。

How-to-Budget-for-Digital-Security-in-2018.jpg

安全相關的各種考慮中(zhōng),最重要的或許就是到底要花多少錢才能在大(dà)範圍網絡攻擊和數據洩露時代有效保護公司數據了。

埃森(sēn)哲咨詢公司發布的《2017網絡犯罪損失》

https://www.accenture.com/t20170926T072837Z__w__/us-en/_acnmedia/PDF-61/Accenture-2017-CostCyberCrimeStudy.pdf顯示,2017年網絡安全支出比上一(yī)年度增長23%大(dà)部分(fēn)支出源于網絡攻擊頻(pín)率及其所造成損失的增長,每起安全事件導緻的平均損失高達100萬美元。

爲避免網絡安全事件造成的破壞和損失,公司企業需建立周全而明智的安全預算,該預算需考慮到自身主要安全漏洞,又(yòu)有助于強化自身防禦。

本文将信息及網絡安全支出分(fēn)爲兩類:合規和恢複,并爲公司企業奉上以這兩類支出爲指引的最佳安全預算方法。

區分(fēn)合規支出與恢複支出

建立安全預算的第一(yī)步,就是區分(fēn)安全相關支出的兩大(dà)主要門類:合規支出與恢複支出。

是爲滿足安全政策或規定而産生(shēng)的預防性開(kāi)支。合規支出主要與預防措施相關,比如防火(huǒ)牆、安全軟件投資(zī)、員(yuán)工(gōng)培訓項目等。

合規支出大(dà)部分(fēn)都會編入預算,而公司預算中(zhōng)包含的合規支出數額最好來自于決策者對安全資(zī)源分(fēn)配領域深思熟慮的結果。

則是由安全問題導緻的開(kāi)支。恢複支出涵蓋較廣,包含了源于數據洩露或各類攻擊所緻的全部開(kāi)支,比如盜竊、勒索、商(shāng)機喪失,還有爲恢複信譽而做的公關努力。

爲網絡攻擊做預算非常難,因爲其所造成的損失取決于多種因素,比如攻擊的嚴重性,以及公司是否做好了網絡攻擊恢複預案。

合規與恢複相比,前者明顯更好做也更可取,因爲它是有規劃的支出,而且一(yī)般比恢複要便宜些。企業安全數據交換解決方案提供商(shāng)Globalscape表示,不合規的代價,或者說不遵從政策規定的後果,大(dà)大(dà)超過合規的成本。

合規開(kāi)支高未必能降低恢複成本。但是,更高的合規支出可以讓公司更好地避免恢複支出。

安全預算基于審計

凡事預而後立,在往安全中(zhōng)投入任何資(zī)源之前,需對公司基礎設施中(zhōng)的全部安全終端進行審計,确定自己預算的重點都在哪裏。

進行審計可以讓公司了解主要漏洞,認清安全投資(zī)應重點放(fàng)在什麽控制措施上。

比如說,如果你在審計中(zhōng)發現公司安全漏洞集中(zhōng)在糟糕的網絡管理上,比如雇員(yuán)出差或在家辦公時經常不用VPN連接公司系統,你就可以把你的預算落在解決網絡接入的缺陷上,比如重新配置設備,隻允許經由VPN或安全網絡連接公司系統。

安全預算要考慮安全人才短缺情況

網絡威脅态勢引出了所有公司企業在制定安全預算的時候都需要考慮的兩大(dà)安全現實。

第一(yī)個就是網絡安全人才短缺,或者說當前市場上合格網絡安全人才的缺乏。第二個殘酷的現實是,随着網絡罪犯人數的倍增和技術的改進,公司企業遭受網絡攻擊的可能性也大(dà)大(dà)增加了。

因爲缺乏确切的解決方案,這兩個問題目前都相當嚴峻。網絡安全人才短缺的核心問題在于有能力的網絡安全雇員(yuán)供小(xiǎo)于求,誰都不能憑空造出大(dà)量人才來填補該領域的人才短缺。

而且,網絡罪犯的擴張也沒有多少阻力,尤其是在當今全球聯網的世界,很多攻擊都是在受害公司或組織的監管範圍之外(wài)發起的。

這兩大(dà)威脅還相互促進:網絡安全人才短缺增加了公司遭到網絡攻擊的幾率。信息系統安全聯盟(ISSA)的研究表明,缺乏足夠的網絡人才,事實上給約20%的公司招緻了網絡攻擊。另外(wài),網絡安全人才缺口在安全分(fēn)析領域尤其大(dà),這使得公司企業更加難以确定自身脆弱領域,不能有效标定其安全投資(zī)。

基于此,公司企業應将網絡安全人才短缺納入安全預算考慮之中(zhōng)。如果不知(zhī)道怎樣合理制定安全預算,可以求助網絡安全公司和安全顧問等外(wài)部資(zī)源。雖然這些資(zī)源也是要花錢雇的,但在專業安全分(fēn)析上的初始投資(zī),最終将爲你省去(qù)遭遇網絡攻擊的大(dà)筆恢複支出。

明智的預算催生(shēng)健壯的網絡安全策略

被大(dà)型網絡安全事件屢屢驚吓的一(yī)年過後,安全預算應成爲公司企業2018重大(dà)事項之一(yī)。爲周全應對未來一(yī)年可能遭遇的安全威脅,公司企業需要制定明智的安全預算。

恰當的安全預算來自于公司對安全相關的兩大(dà)主要開(kāi)支的考慮:合規支出與恢複支出。

想要有效規劃合規支出,公司需了解當前網絡威脅态勢的嚴重性,可進行審計以發現公司最大(dà)安全漏洞,并将安全預算導引向補強這些短闆上。

此外(wài),公司還需對恢複支出采取務實的方法和預算。網絡攻擊越普遍,公司企業最終淪爲受害者的可能性越高。建立恢複預算以應對數據洩露或網絡攻擊事件是必要的,這爲遭到攻擊的情況預留資(zī)源可以減小(xiǎo)公司所受的沖擊。

建立明智的預算可以令公司企業制定出健壯的網絡安全策略。而強大(dà)的策略來自明智的安全投資(zī)控制和訓練有素的員(yuán)工(gōng)基礎。

安全預算設計得越好,公司就越安全,越能應對面臨的網絡安全威脅。