發(fā)布源:深圳維創(chuàng)信息技術(shù)發(fā)布時間:2020-09-16 瀏覽次數(shù): 次
去年又是重大數(shù)據(jù)泄露頻發(fā)的一年,安全問題成為了每家公司管理層肯定會考慮的事項(xiàng)之一。
安全相關(guān)的各種考慮中,最重要的或許就是到底要花多少錢才能在大范圍網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露時代有效保護(hù)公司數(shù)據(jù)了。
區(qū)分合規(guī)支出與恢復(fù)支出建立安全預(yù)算的第一步,就是區(qū)分安全相關(guān)支出的兩大主要門類:合規(guī)支出與恢復(fù)支出。
1. 合規(guī)支出是為滿足安全政策或規(guī)定而產(chǎn)生的預(yù)防性開支。
合規(guī)支出主要與預(yù)防措施相關(guān),比如防火墻、安全軟件投資、員工培訓(xùn)項(xiàng)目等。
合規(guī)支出大部分都會編入預(yù)算,而公司預(yù)算中包含的合規(guī)支出數(shù)額最好來自于決策者對安全資源分配領(lǐng)域深思熟慮的結(jié)果。
2. 恢復(fù)支出則是由安全問題導(dǎo)致的開支。
恢復(fù)支出涵蓋較廣,包含了源于數(shù)據(jù)泄露或各類攻擊所致的全部開支,比如盜竊、勒索、商機(jī)喪失,還有為恢復(fù)信譽(yù)而做的公關(guān)努力。
為網(wǎng)絡(luò)攻擊做預(yù)算非常難,因?yàn)槠渌斐傻膿p失取決于多種因素,比如攻擊的嚴(yán)重性,以及公司是否做好了網(wǎng)絡(luò)攻擊恢復(fù)預(yù)案。
合規(guī)與恢復(fù)相比,前者明顯更好做也更可取,因?yàn)樗怯幸?guī)劃的支出,而且一般比恢復(fù)要便宜些。
企業(yè)安全數(shù)據(jù)交換解決方案提供商Globalscape表示,不合規(guī)的代價,或者說不遵從政策規(guī)定的后果,大大超過合規(guī)的成本。
合規(guī)開支高未必能降低恢復(fù)成本。
但是,更高的合規(guī)支出可以讓公司更好地避免恢復(fù)支出。
安全預(yù)算基于審計(jì)凡事預(yù)而后立,在往安全中投入任何資源之前,需對公司基礎(chǔ)設(shè)施中的全部安全終端進(jìn)行審計(jì),確定自己預(yù)算的重點(diǎn)都在哪里。
進(jìn)行審計(jì)可以讓公司了解主要漏洞,認(rèn)清安全投資應(yīng)重點(diǎn)放在什么控制措施上。
比如說,如果你在審計(jì)中發(fā)現(xiàn)公司安全漏洞集中在糟糕的網(wǎng)絡(luò)管理上,比如雇員出差或在家辦公時經(jīng)常不用VPN連接公司系統(tǒng),你就可以把你的預(yù)算落在解決網(wǎng)絡(luò)接入的缺陷上,比如重新配置設(shè)備,只允許經(jīng)由VPN或安全網(wǎng)絡(luò)連接公司系統(tǒng)。
安全預(yù)算要考慮安全人才短缺情況網(wǎng)絡(luò)威脅態(tài)勢引出了所有公司企業(yè)在制定安全預(yù)算的時候都需要考慮的兩大安全現(xiàn)實(shí)。
第一個就是網(wǎng)絡(luò)安全人才短缺,或者說當(dāng)前市場上合格網(wǎng)絡(luò)安全人才的缺乏。
第二個殘酷的現(xiàn)實(shí)是,隨著網(wǎng)絡(luò)罪犯人數(shù)的倍增和技術(shù)的改進(jìn),公司企業(yè)遭受網(wǎng)絡(luò)攻擊的可能性也大大增加了。
因?yàn)槿狈Υ_切的解決方案,這兩個問題目前都相當(dāng)嚴(yán)峻。
網(wǎng)絡(luò)安全人才短缺的核心問題在于有能力的網(wǎng)絡(luò)安全雇員供小于求,誰都不能憑空造出大量人才來填補(bǔ)該領(lǐng)域的人才短缺。
而且,網(wǎng)絡(luò)罪犯的擴(kuò)張也沒有多少阻力,尤其是在當(dāng)今全球聯(lián)網(wǎng)的世界,很多攻擊都是在受害公司或組織的監(jiān)管范圍之外發(fā)起的。
這兩大威脅還相互促進(jìn):網(wǎng)絡(luò)安全人才短缺增加了公司遭到網(wǎng)絡(luò)攻擊的幾率。
信息系統(tǒng)安全聯(lián)盟(ISSA)的研究表明,缺乏足夠的網(wǎng)絡(luò)人才,事實(shí)上給約20%的公司招致了網(wǎng)絡(luò)攻擊。
另外,網(wǎng)絡(luò)安全人才缺口在安全分析領(lǐng)域尤其大,這使得公司企業(yè)更加難以確定自身脆弱領(lǐng)域,不能有效標(biāo)定其安全投資。
基于此,公司企業(yè)應(yīng)將網(wǎng)絡(luò)安全人才短缺納入安全預(yù)算考慮之中。
如果不知道怎樣合理制定安全預(yù)算,可以求助網(wǎng)絡(luò)安全公司和安全顧問等外部資源。
雖然這些資源也是要花錢雇的,但在專業(yè)安全分析上的初始投資,最終將為你省去遭遇網(wǎng)絡(luò)攻擊的大筆恢復(fù)支出。
明智的預(yù)算催生健壯的網(wǎng)絡(luò)安全策略被大型網(wǎng)絡(luò)安全事件屢屢驚嚇的一年過后,安全預(yù)算應(yīng)成為公司企業(yè)2018重大事項(xiàng)之一。
為周全應(yīng)對未來一年可能遭遇的安全威脅,公司企業(yè)需要制定明智的安全預(yù)算。
恰當(dāng)?shù)陌踩A(yù)算來自于公司對安全相關(guān)的兩大主要開支的考慮:合規(guī)支出與恢復(fù)支出。
想要有效規(guī)劃合規(guī)支出,公司需了解當(dāng)前網(wǎng)絡(luò)威脅態(tài)勢的嚴(yán)重性,可進(jìn)行審計(jì)以發(fā)現(xiàn)公司最大安全漏洞,并將安全預(yù)算導(dǎo)引向補(bǔ)強(qiáng)這些短板上。
此外,公司還需對恢復(fù)支出采取務(wù)實(shí)的方法和預(yù)算。
網(wǎng)絡(luò)攻擊越普遍,公司企業(yè)最終淪為受害者的可能性越高。
建立恢復(fù)預(yù)算以應(yīng)對數(shù)據(jù)泄露或網(wǎng)絡(luò)攻擊事件是必要的,這為遭到攻擊的情況預(yù)留資源可以減小公司所受的沖擊。
建立明智的預(yù)算可以令公司企業(yè)制定出健壯的網(wǎng)絡(luò)安全策略。
而強(qiáng)大的策略來自明智的安全投資控制和訓(xùn)練有素的員工基礎(chǔ)。
安全預(yù)算設(shè)計(jì)得越好,公司就越安全,越能應(yīng)對面臨的網(wǎng)絡(luò)安全威脅。
Copyright © 2021 深圳市維創(chuàng)信息技術(shù)有限公司 版權(quán)所有