在日益嚴峻且多樣化的網絡安全威脅面前,確保每一分錢的安全預算都得到有效利用至關重要。比如,SonicWall發布的《2024年年中網絡威脅報告》顯示,僅在去年,惡意軟件攻擊達到了55億次,勒索軟件攻擊為4.933億次,入侵嘗試高達6.3萬億次,而根據Sophos的數據,勒索軟件的贖金要求創下新高,平均贖金已上升至200萬美元,其中30%的贖金要求超過500萬美元。
雖然明確且強有力的安全措施顯示出企業對客戶和供應商的承諾,但如何合理分配安全預算以獲得最佳投資回報并不簡單。為安全支出帶來的好處賦予一個明確的貨幣價值并不容易,且因為資金通常作為預防措施進行分配,精準衡量其成就充滿挑戰。
事實上,問題的一部分在于企業往往聚焦于安全支出的負面結果。例如,很多公司會通過計算數據泄露的成本來證明在技術、人員或服務上的支出是合理的。盡管這種做法在一定程度上可以理解,但專注于“我們需要花多少錢來防止問題發生”并不總是有助于構建有效的安全投資商業理由。
有效的安全投資
相反,企業應當關注如何通過有效的投資展示出以業務為導向的正面回報。例如,展示最佳實踐是否能夠提供客戶所期望的保障和信心?這一點是否在他們的采購清單中名列前茅?
在某些行業中,安全是核心決策標準之一,特別是在合規和監管起著重要作用的領域,可能還需要通過外部審計,或者供應鏈/投標采購流程可能依賴于明顯強大的安全策略。
在這些情況下,展示安全投資回報率不僅僅是為了在問題發生時減輕損失和破壞,更重要的是,它提高了標準,表現得比競爭對手更出色——這可以帶來更為顯著的財務回報。
毫無疑問,采用最佳網絡安全實踐的企業也能更好地保護關鍵資產,如知識產權,同時,這還能降低對日常業務活動的干擾風險,保護關鍵信息數據。
風險與回報
雖然最佳實踐的效果可能難以量化,但通常它們與業務戰略、監管或合規要求保持一致。通過投資,這也向合作伙伴和客戶傳遞了一個明確的信號:公司對提供有效的網絡安全有著深刻且長期的承諾。
某些特定行業的網絡安全法規要求無論在哪個領域都要確保數據隱私,而其他法規則專注于特定行業垂直領域,如《薩班斯-奧克斯利法案》(SOX)、《國際武器貿易條例》(ITAR)和《健康保險可攜性和責任法案》(HIPAA)。一個關鍵挑戰在于,監管框架往往存在解釋空間,這意味著企業需要摸索如何合規。
同樣,盡管像PCI-DSS這樣的合規標準推動了重要安全實踐的采用,例如持續滲透測試、釣魚演習、采用SIEM(安全信息和事件管理系統)和網絡彈性,但一些人仍將其視為一項巨大的投資。
接受外部審計的企業通常需要對審計結果、結論和建議作出反應。在大多數情況下,審計反映的是監管要求或企業集團的需求。審計中發現的差距可能需要額外的預算或重新分配預算,對于那些未規劃此類支出的企業來說,這將帶來壓力。
履行義務
當合同義務要求達到某些安全目標或標準,或者這些目標或標準是采購流程的一部分時,企業會根據其風險偏好設計相應的方案。
然而,履行合同義務是安全能夠展示切實ROI的一個情境。無論是維持現有的服務協議、持續向客戶提供履行義務的保證,還是更具體的事項,如簡化新客戶的入職流程,強大的安全策略對業務的影響都可能是巨大的。
專注于這些優先事項可以顯著幫助企業展示其績效和承諾,并為ROI做出貢獻。雖然確定和監控典型安全預算的投資回報確實充滿挑戰,但這是構建有效戰略的重要部分,該戰略能夠以現有的投資提供盡可能強的保護。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號