去年又是重大數(shù)據(jù)泄露頻發(fā)的一年�,安全問(wèn)題成為了每家公司管理層肯定會(huì)考慮的事項(xiàng)之一。
安全相關(guān)的各種考慮中���,最重要的或許就是到底要花多少錢(qián)才能在大范圍網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露時(shí)代有效保護(hù)公司數(shù)據(jù)了。
區(qū)分合規(guī)支出與恢復(fù)支出建立安全預(yù)算的第一步�����,就是區(qū)分安全相關(guān)支出的兩大主要門(mén)類:合規(guī)支出與恢復(fù)支出����。
1. 合規(guī)支出是為滿足安全政策或規(guī)定而產(chǎn)生的預(yù)防性開(kāi)支。
合規(guī)支出主要與預(yù)防措施相關(guān)��,比如防火墻�����、安全軟件投資�、員工培訓(xùn)項(xiàng)目等。
合規(guī)支出大部分都會(huì)編入預(yù)算�����,而公司預(yù)算中包含的合規(guī)支出數(shù)額最好來(lái)自于決策者對(duì)安全資源分配領(lǐng)域深思熟慮的結(jié)果���。
2. 恢復(fù)支出則是由安全問(wèn)題導(dǎo)致的開(kāi)支�����。
恢復(fù)支出涵蓋較廣���,包含了源于數(shù)據(jù)泄露或各類攻擊所致的全部開(kāi)支���,比如盜竊、勒索����、商機(jī)喪失,還有為恢復(fù)信譽(yù)而做的公關(guān)努力��。
為網(wǎng)絡(luò)攻擊做預(yù)算非常難��,因?yàn)槠渌斐傻膿p失取決于多種因素�����,比如攻擊的嚴(yán)重性����,以及公司是否做好了網(wǎng)絡(luò)攻擊恢復(fù)預(yù)案。
合規(guī)與恢復(fù)相比��,前者明顯更好做也更可取����,因?yàn)樗怯幸?guī)劃的支出,而且一般比恢復(fù)要便宜些�。
企業(yè)安全數(shù)據(jù)交換解決方案提供商Globalscape表示,不合規(guī)的代價(jià)����,或者說(shuō)不遵從政策規(guī)定的后果,大大超過(guò)合規(guī)的成本���。
合規(guī)開(kāi)支高未必能降低恢復(fù)成本���。
但是,更高的合規(guī)支出可以讓公司更好地避免恢復(fù)支出�。
安全預(yù)算基于審計(jì)凡事預(yù)而后立,在往安全中投入任何資源之前��,需對(duì)公司基礎(chǔ)設(shè)施中的全部安全終端進(jìn)行審計(jì)�����,確定自己預(yù)算的重點(diǎn)都在哪里����。
進(jìn)行審計(jì)可以讓公司了解主要漏洞��,認(rèn)清安全投資應(yīng)重點(diǎn)放在什么控制措施上��。
比如說(shuō)���,如果你在審計(jì)中發(fā)現(xiàn)公司安全漏洞集中在糟糕的網(wǎng)絡(luò)管理上,比如雇員出差或在家辦公時(shí)經(jīng)常不用VPN連接公司系統(tǒng)����,你就可以把你的預(yù)算落在解決網(wǎng)絡(luò)接入的缺陷上,比如重新配置設(shè)備����,只允許經(jīng)由VPN或安全網(wǎng)絡(luò)連接公司系統(tǒng)。
安全預(yù)算要考慮安全人才短缺情況網(wǎng)絡(luò)威脅態(tài)勢(shì)引出了所有公司企業(yè)在制定安全預(yù)算的時(shí)候都需要考慮的兩大安全現(xiàn)實(shí)��。
第一個(gè)就是網(wǎng)絡(luò)安全人才短缺����,或者說(shuō)當(dāng)前市場(chǎng)上合格網(wǎng)絡(luò)安全人才的缺乏。
第二個(gè)殘酷的現(xiàn)實(shí)是���,隨著網(wǎng)絡(luò)罪犯人數(shù)的倍增和技術(shù)的改進(jìn)����,公司企業(yè)遭受網(wǎng)絡(luò)攻擊的可能性也大大增加了。
因?yàn)槿狈Υ_切的解決方案�,這兩個(gè)問(wèn)題目前都相當(dāng)嚴(yán)峻��。
網(wǎng)絡(luò)安全人才短缺的核心問(wèn)題在于有能力的網(wǎng)絡(luò)安全雇員供小于求����,誰(shuí)都不能憑空造出大量人才來(lái)填補(bǔ)該領(lǐng)域的人才短缺。
而且�����,網(wǎng)絡(luò)罪犯的擴(kuò)張也沒(méi)有多少阻力���,尤其是在當(dāng)今全球聯(lián)網(wǎng)的世界�,很多攻擊都是在受害公司或組織的監(jiān)管范圍之外發(fā)起的���。
這兩大威脅還相互促進(jìn):網(wǎng)絡(luò)安全人才短缺增加了公司遭到網(wǎng)絡(luò)攻擊的幾率����。
信息系統(tǒng)安全聯(lián)盟(ISSA)的研究表明��,缺乏足夠的網(wǎng)絡(luò)人才,事實(shí)上給約20%的公司招致了網(wǎng)絡(luò)攻擊���。
另外����,網(wǎng)絡(luò)安全人才缺口在安全分析領(lǐng)域尤其大�����,這使得公司企業(yè)更加難以確定自身脆弱領(lǐng)域����,不能有效標(biāo)定其安全投資。
基于此�,公司企業(yè)應(yīng)將網(wǎng)絡(luò)安全人才短缺納入安全預(yù)算考慮之中。
如果不知道怎樣合理制定安全預(yù)算�����,可以求助網(wǎng)絡(luò)安全公司和安全顧問(wèn)等外部資源����。
雖然這些資源也是要花錢(qián)雇的,但在專業(yè)安全分析上的初始投資���,最終將為你省去遭遇網(wǎng)絡(luò)攻擊的大筆恢復(fù)支出�。
明智的預(yù)算催生健壯的網(wǎng)絡(luò)安全策略被大型網(wǎng)絡(luò)安全事件屢屢驚嚇的一年過(guò)后,安全預(yù)算應(yīng)成為公司企業(yè)2018重大事項(xiàng)之一�����。
為周全應(yīng)對(duì)未來(lái)一年可能遭遇的安全威脅����,公司企業(yè)需要制定明智的安全預(yù)算�����。
恰當(dāng)?shù)陌踩A(yù)算來(lái)自于公司對(duì)安全相關(guān)的兩大主要開(kāi)支的考慮:合規(guī)支出與恢復(fù)支出���。
想要有效規(guī)劃合規(guī)支出�����,公司需了解當(dāng)前網(wǎng)絡(luò)威脅態(tài)勢(shì)的嚴(yán)重性�,可進(jìn)行審計(jì)以發(fā)現(xiàn)公司最大安全漏洞�����,并將安全預(yù)算導(dǎo)引向補(bǔ)強(qiáng)這些短板上。
此外��,公司還需對(duì)恢復(fù)支出采取務(wù)實(shí)的方法和預(yù)算���。
網(wǎng)絡(luò)攻擊越普遍����,公司企業(yè)最終淪為受害者的可能性越高����。
建立恢復(fù)預(yù)算以應(yīng)對(duì)數(shù)據(jù)泄露或網(wǎng)絡(luò)攻擊事件是必要的,這為遭到攻擊的情況預(yù)留資源可以減小公司所受的沖擊��。
建立明智的預(yù)算可以令公司企業(yè)制定出健壯的網(wǎng)絡(luò)安全策略�����。
而強(qiáng)大的策略來(lái)自明智的安全投資控制和訓(xùn)練有素的員工基礎(chǔ)�。
安全預(yù)算設(shè)計(jì)得越好,公司就越安全����,越能應(yīng)對(duì)面臨的網(wǎng)絡(luò)安全威脅。
