如今，網(wǎng)絡(luò)安全投資不僅僅是為了避免成本，而是為了獲得更廣泛的利益，這些指標(biāo)包括：

 

• 生產(chǎn)力：網(wǎng)絡(luò)安全措施可以顯著提高生產(chǎn)力，通過減少因安全漏洞導(dǎo)致的停機(jī)時(shí)間來提高運(yùn)營(yíng)效率和員工表現(xiàn)，衡量這一點(diǎn)的一個(gè)具體指標(biāo)是事件發(fā)生后的平均控制時(shí)間（MTTC）。

 

• 安全態(tài)勢(shì)：通過跟蹤實(shí)施安全措施前后的漏洞數(shù)量和嚴(yán)重程度，可以量化企業(yè)的整體安全態(tài)勢(shì)，一個(gè)關(guān)鍵指標(biāo)是減少修復(fù)活動(dòng)的同時(shí)保持或提高安全態(tài)勢(shì)，這可以通過節(jié)省的工作時(shí)間或努力來衡量，傳統(tǒng)的衡量指標(biāo)包括檢測(cè)到的事件數(shù)量、平均檢測(cè)時(shí)間（MTTD）、平均響應(yīng)時(shí)間（MTTR）和補(bǔ)丁管理（部署修復(fù)的平均時(shí)間），安全意識(shí)培訓(xùn)和衡量釣魚攻擊成功率也很重要。

 

• 網(wǎng)絡(luò)保險(xiǎn)費(fèi)：有效的網(wǎng)絡(luò)安全策略可以降低網(wǎng)絡(luò)保險(xiǎn)費(fèi)，反映出企業(yè)的風(fēng)險(xiǎn)狀況降低。

 

• 上市時(shí)間：安全開發(fā)實(shí)踐，如將安全評(píng)估移到軟件開發(fā)生命周期的早期階段，可以減少新產(chǎn)品和服務(wù)的上市時(shí)間，下一代安全計(jì)劃應(yīng)該能夠衡量這一屬性。

 

• 風(fēng)險(xiǎn)緩解成本：評(píng)估風(fēng)險(xiǎn)緩解策略的成本效益至關(guān)重要，這包括將各種安全措施的成本與安全事件的潛在損失進(jìn)行比較，并將這一數(shù)據(jù)與補(bǔ)丁管理和已修復(fù)的漏洞數(shù)量聯(lián)系起來，現(xiàn)代計(jì)劃使企業(yè)能夠從風(fēng)險(xiǎn)的角度優(yōu)先修復(fù)最重要的問題，總體而言，修復(fù)成本比事件成本更能反映企業(yè)的整體安全態(tài)勢(shì)。

 

• 工具優(yōu)化：通過利用治理層，企業(yè)可以消除冗余的安全工具，優(yōu)化其安全投資，對(duì)安全工具的持續(xù)評(píng)估確保只使用最相關(guān)的解決方案，年度安全支出應(yīng)與企業(yè)的有效性衡量標(biāo)準(zhǔn)一起考慮，并且該標(biāo)準(zhǔn)應(yīng)靈活適應(yīng)工具和應(yīng)用環(huán)境的特殊性——每項(xiàng)技術(shù)應(yīng)有三個(gè)可衡量的成功指標(biāo)。

 

• 客戶體驗(yàn)：改進(jìn)身份和訪問管理可以簡(jiǎn)化用戶驗(yàn)證步驟，通過減少憑證驗(yàn)證相關(guān)的摩擦來提高客戶體驗(yàn)。

 

• 網(wǎng)絡(luò)性能：增強(qiáng)網(wǎng)絡(luò)安全也可以改善網(wǎng)絡(luò)連接性和減少延遲，從而提高整體系統(tǒng)性能并阻止惡意攻擊。

 

• 數(shù)據(jù)保護(hù)：實(shí)施強(qiáng)有力的安全控制措施可以最大限度地降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)和影響，通過監(jiān)控?cái)?shù)據(jù)丟失防護(hù)（DLP）違規(guī)行為并響應(yīng)警報(bào)來保護(hù)企業(yè)免受數(shù)據(jù)丟失的嚴(yán)重后果。

 

 

在網(wǎng)絡(luò)安全中，主動(dòng)投資策略通過預(yù)防事故發(fā)生和優(yōu)化安全操作可以顯著提高投資回報(bào)率，關(guān)鍵策略包括：

 

• 推進(jìn)左移安全：投資于早期的安全評(píng)估和漏洞識(shí)別，可以在問題變得嚴(yán)重之前就減輕風(fēng)險(xiǎn)，這種方法確保從開發(fā)過程一開始就集成了安全性。

  

• 利用安全態(tài)勢(shì)管理：實(shí)施應(yīng)用安全態(tài)勢(shì)管理（ASPM）等解決方案，有助于識(shí)別和優(yōu)先處理對(duì)企業(yè)最重要的風(fēng)險(xiǎn)，而不是不加區(qū)分地處理所有漏洞。

  

• 部署治理工具：部署治理工具可以為特定員工群體（如開發(fā)人員）提供量身定制的培訓(xùn)，而不是一刀切的方法，這種有針對(duì)性的培訓(xùn)提高了安全措施的有效性并降低了成本。

  

• 最大化工具優(yōu)化：企業(yè)經(jīng)常積累過多的安全工具，導(dǎo)致重復(fù)和效率降低，簡(jiǎn)化、整合和優(yōu)化安全工具可以帶來顯著的成本節(jié)約和改進(jìn)的安全成果，例如，將治理、風(fēng)險(xiǎn)和合規(guī)（GRC）與漏洞管理集成到一個(gè)平臺(tái)中，可以簡(jiǎn)化操作并減少冗余。

 

 

向高管領(lǐng)導(dǎo)和利益相關(guān)者展示網(wǎng)絡(luò)安全投資的ROI需要清晰、基于指標(biāo)的溝通。最佳實(shí)踐包括：

 

• 基于指標(biāo)的方法：使用具體、可量化的指標(biāo)展示安全態(tài)勢(shì)和運(yùn)營(yíng)效率的改善，例如，強(qiáng)調(diào)漏洞修復(fù)時(shí)間的減少、事件響應(yīng)成本的下降和合規(guī)率的提高。

  

• 與業(yè)務(wù)對(duì)齊的安全性：展示網(wǎng)絡(luò)安全措施如何與業(yè)務(wù)目標(biāo)對(duì)齊并支持業(yè)務(wù)目標(biāo)，這包括更快的產(chǎn)品交付、縮短的上市時(shí)間和提高的客戶滿意度。

  

• 以風(fēng)險(xiǎn)為中心的報(bào)告：強(qiáng)調(diào)專注于最關(guān)鍵的業(yè)務(wù)特定風(fēng)險(xiǎn)如何帶來更好的資源分配和減少不必要的修復(fù)工作。

  

• 工具優(yōu)化的好處：展示通過優(yōu)化安全工具和消除重復(fù)帶來的成本節(jié)約和效率提升。

 

 

集成先進(jìn)技術(shù)如AI和機(jī)器學(xué)習(xí)可以通過動(dòng)態(tài)優(yōu)化安全解決方案深刻影響網(wǎng)絡(luò)安全ROI，使企業(yè)能夠?qū)崟r(shí)適應(yīng)不斷變化的威脅，這些技術(shù)增強(qiáng)了威脅檢測(cè)能力，比傳統(tǒng)方法更快、更準(zhǔn)確地識(shí)別和響應(yīng)威脅，從而減少安全事件的可能性和影響。

 

此外，AI驅(qū)動(dòng)的自動(dòng)化簡(jiǎn)化了安全操作，減少了對(duì)人工干預(yù)的需求，并釋放資源用于更具戰(zhàn)略性的活動(dòng)，這種動(dòng)態(tài)威脅管理、有效響應(yīng)能力和操作自動(dòng)化的結(jié)合，顯著提升了網(wǎng)絡(luò)安全投資的整體效益和成本效率。

 

 

為了提高網(wǎng)絡(luò)安全投資回報(bào)率，安全專業(yè)人士應(yīng)該：

 

• 建立清晰的指標(biāo)：在身份和訪問管理、風(fēng)險(xiǎn)修復(fù)、軟件開發(fā)、數(shù)據(jù)丟失防護(hù)和消息安全等各個(gè)領(lǐng)域定義并衡量關(guān)鍵指標(biāo)。

 

• 開發(fā)相關(guān)措施：確保所使用的指標(biāo)與企業(yè)的具體背景和目標(biāo)相關(guān)且有意義。

 

• 設(shè)定安全容忍度：建立可接受的風(fēng)險(xiǎn)水平，并將這些作為評(píng)估安全性能的基準(zhǔn)。

 

• 定期報(bào)告：定期生成安全測(cè)量和報(bào)告，以保持可見性和問責(zé)性，這有助于持續(xù)跟蹤進(jìn)展并根據(jù)需要對(duì)安全策略進(jìn)行知情調(diào)整。

 

通過優(yōu)先考慮以上措施，企業(yè)可以展示其網(wǎng)絡(luò)安全投資的價(jià)值，并通過改進(jìn)的安全性和運(yùn)營(yíng)效率獲得更高的投資回報(bào)。

 

 

國(guó)內(nèi)主流的to B IT門戶，旗下運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。旗下運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需在文章開頭注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。