但是,為數(shù)據(jù)泄露進(jìn)行投資可能是一項(xiàng)挑戰(zhàn),這使得證明安全支出的投資回報(bào)率變得困難。
改變態(tài)度:考慮衡量積極的業(yè)務(wù)成果
根據(jù)數(shù)據(jù)泄露的潛在成本分配安全預(yù)算側(cè)重于負(fù)面后果,并不總是有助于建立有效的安全投資業(yè)務(wù)案例。
與其相反,企業(yè)應(yīng)該關(guān)注安全投資如何展示積極的業(yè)務(wù)回報(bào),例如這些安全支出的關(guān)鍵催化劑:
•競(jìng)爭(zhēng)優(yōu)勢(shì)
•最佳實(shí)踐和客戶保證
•合規(guī)性
•外部審計(jì)
•供應(yīng)鏈、投標(biāo)或采購(gòu)流程的合同義務(wù)
因此,確定了安全性為業(yè)務(wù)帶來(lái)積極成果的五個(gè)關(guān)鍵領(lǐng)域。但它們能否幫助企業(yè)最大限度地提高安全預(yù)算并展示投資回報(bào)率?以下進(jìn)行討論。
競(jìng)爭(zhēng)優(yōu)勢(shì):不再是安全支出的商業(yè)案例
將時(shí)光回溯到2011年,流媒體供應(yīng)商N(yùn)etflix公司當(dāng)時(shí)仍在向用戶出租出售DVD光盤,很少有員工在家遠(yuǎn)程工作,而那時(shí)企業(yè)仍然在1995年數(shù)據(jù)保護(hù)指令下運(yùn)營(yíng)。當(dāng)時(shí)加強(qiáng)數(shù)據(jù)安全性很可能會(huì)提供競(jìng)爭(zhēng)優(yōu)勢(shì)。
然而,對(duì)于當(dāng)今的大多數(shù)行業(yè)而言,情況并非如此,因?yàn)閺?qiáng)大的數(shù)據(jù)安全性已經(jīng)成為必備的功能。良好的安全實(shí)踐是一項(xiàng)要求,因此競(jìng)爭(zhēng)優(yōu)勢(shì)不能再作為安全支出的有效業(yè)務(wù)案例來(lái)呈現(xiàn)。
最佳實(shí)踐:量化的挑戰(zhàn)
可以引用最佳實(shí)踐作為在企業(yè)安全預(yù)算中提供投資回報(bào)率(ROI)嗎?遵循最佳實(shí)踐的企業(yè)肯定能夠保護(hù)他們的知識(shí)產(chǎn)權(quán)和關(guān)鍵數(shù)據(jù)資產(chǎn)。此外,他們將顯著降低業(yè)務(wù)連續(xù)性中斷的風(fēng)險(xiǎn)。
但是對(duì)于某些企業(yè)來(lái)說(shuō),準(zhǔn)確量化“最佳實(shí)踐”對(duì)其業(yè)務(wù)的意義可能是一項(xiàng)艱巨且耗時(shí)的挑戰(zhàn)。而采用最佳實(shí)踐策略可能需要大量投資,因此其成本高昂。此外,最佳實(shí)踐戰(zhàn)略通常與業(yè)務(wù)戰(zhàn)略以及監(jiān)管和合規(guī)要求保持一致。
雖然最佳實(shí)踐數(shù)據(jù)安全策略會(huì)向客戶和合作伙伴發(fā)出積極的信息,但它為證明企業(yè)的安全預(yù)算中的特定投資回報(bào)率(ROI)提供了一個(gè)案例。
合規(guī)性:業(yè)務(wù)成本
盡管合規(guī)性是安全投資的驅(qū)動(dòng)因素,但它通常被視為企業(yè)開(kāi)展業(yè)務(wù)的一種成本——如果不遵守監(jiān)管要求,企業(yè)的業(yè)務(wù)就會(huì)處在風(fēng)險(xiǎn)之中。
GDPR法規(guī)是跨行業(yè)的法規(guī),而有些法規(guī)是針對(duì)特定行業(yè)的,例如英國(guó)金融行為監(jiān)管局(FCA) 法規(guī)、國(guó)際武器貿(mào)易法規(guī)(ITAR)和美國(guó)健康保險(xiǎn)流通與責(zé)任法案(HIPAA)。此類法規(guī)的合規(guī)性可能并不適合IT安全技能組合,在這些技能組合中,這些法規(guī)通常被認(rèn)為是提高安全性的理由。
實(shí)現(xiàn)合規(guī)性可能需要大量投資,這些投資不僅在技術(shù)方面,而且在專業(yè)的人員和流程方面。例如,企業(yè)必須遵守有關(guān)運(yùn)營(yíng)和技術(shù)要求才能符合支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCIDSS)的要求。
因此,合規(guī)性通常屬于業(yè)務(wù)成本,因此在嘗試證明安全性預(yù)算中的投資回報(bào)率(ROI)時(shí)沒(méi)有必要引用。
外部審計(jì):推動(dòng)安全支出增長(zhǎng)
那么外部審計(jì)能否在安全預(yù)算中展示投資回報(bào)率?其回答是不能。在大多數(shù)情況下,外部審計(jì)是作為對(duì)法律法規(guī)或企業(yè)的團(tuán)體要求的反應(yīng),這些要求將它們分配給一般業(yè)務(wù)責(zé)任。企業(yè)需要對(duì)審計(jì)的輸出、結(jié)論和建議做出反應(yīng)。任何差距都需要額外或重新分配預(yù)算,這使其成為一項(xiàng)業(yè)務(wù)責(zé)任。因此,雖然外部審計(jì)可能會(huì)推動(dòng)安全支出增長(zhǎng),但它們并不能真正幫助顯示安全支出的投資回報(bào)率。
合同義務(wù):明確規(guī)定安全要求
當(dāng)涉及到企業(yè)的供應(yīng)鏈中的合同義務(wù)或投標(biāo)和采購(gòu)流程時(shí),將明確規(guī)定保護(hù)企業(yè)的數(shù)據(jù)或網(wǎng)絡(luò)所需的安全性。
雖然很多企業(yè)會(huì)根據(jù)其風(fēng)險(xiǎn)策略采用不同的方法,但都應(yīng)該期待共同的安全控制措施。例如,這些可能包括年度滲透測(cè)試、網(wǎng)絡(luò)釣魚(yú)評(píng)估、定期防火墻審計(jì)以及安全信息和事件管理(SIEM)或安全運(yùn)營(yíng)中心(SOC),以監(jiān)控安全事件并快速響應(yīng)。
這些具體而明確的合同義務(wù)使得在安全預(yù)算中展示投資回報(bào)率變得容易。對(duì)于大多數(shù)企業(yè)來(lái)說(shuō),可以在三個(gè)關(guān)鍵領(lǐng)域找到投資回報(bào)率:
•維護(hù)現(xiàn)有的服務(wù)協(xié)議
•簡(jiǎn)化新客戶的入職流程
•持續(xù)向客戶保證他們遵守合同義務(wù)。
與客戶或供應(yīng)商合作時(shí)通常需要的安全控制包括安全認(rèn)證和信息安全框架,如ISO 27001或其更經(jīng)濟(jì)、更可實(shí)現(xiàn)的替代方案IAMSE治理標(biāo)準(zhǔn),其中包括GDPR法規(guī)和Cyber Essentials法規(guī)。在這一點(diǎn)上,如果企業(yè)向政府機(jī)構(gòu)投標(biāo),Cyber Essentials和Cyber Essentials Plus是必不可少的。
這些控制需要大量的時(shí)間和投資,但它們表明了對(duì)客戶和供應(yīng)鏈的明確和具體的安全承諾,在這樣的環(huán)境中,很容易證明明確和積極的投資回報(bào)率。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)