7項容易忽視網(wǎng)絡(luò)安全預(yù)算加重了企業(yè)運營成本

時間：2023-06-17 12:36:01 | 來源：網(wǎng)站運營

時間：2023-06-17 12:36:01 來源：網(wǎng)站運營

7項容易忽視網(wǎng)絡(luò)安全預(yù)算加重了企業(yè)運營成本：您的企業(yè)網(wǎng)絡(luò)安全預(yù)算能覆蓋所有的關(guān)鍵內(nèi)容嗎?下面我們來看看預(yù)算規(guī)劃者經(jīng)常最小化或忽略的7項開支。




預(yù)防網(wǎng)絡(luò)攻擊的成本幾乎總是比在網(wǎng)絡(luò)攻擊發(fā)生后修復(fù)損失的費用要低。盡管如此，許多企業(yè)在編制網(wǎng)絡(luò)安全預(yù)算時仍會遺漏一些關(guān)鍵內(nèi)容，這可能會使企業(yè)遭受重大的財務(wù)損失。




每個組織，無論其規(guī)模大小或重點如何，都應(yīng)該制定一個合理、準(zhǔn)確的網(wǎng)絡(luò)安全預(yù)算。喬治亞州肯尼索州立大學(xué)信息安全與保障教授胡馬雍?扎法（Humayun Zafar）說:“預(yù)算為幾乎所有事情都帶來了實用性?！?br>



Zafar指出，盡管企業(yè)為保護(hù)系統(tǒng)和資源竭盡全力，但網(wǎng)絡(luò)安全威脅事件仍在不斷發(fā)生并迅速增長。他警告說:“預(yù)算的增長速度不能與這些威脅的發(fā)生速度相提并論。因此，組織必須對網(wǎng)絡(luò)安全進(jìn)行明智的投資。在不能確保所有內(nèi)容的安全時，確定預(yù)算的優(yōu)先級至關(guān)重要。”




這里有七個關(guān)鍵的網(wǎng)絡(luò)安全預(yù)算項目，規(guī)劃者經(jīng)常忽視或未能實際解決。




1.招聘和留住員工




許多組織無視長期趨勢，低估了雇傭和保留熟練網(wǎng)絡(luò)安全專業(yè)人員的成本。商業(yè)咨詢公司EY Consulting的網(wǎng)絡(luò)安全負(fù)責(zé)人卡羅琳?施賴伯(Carolyn Schreiber)表示:“在過去幾年里，合格的專業(yè)人士與成倍增長的工作崗位之間的差距一直在擴(kuò)大。競爭依然激烈，人才大戰(zhàn)仍在繼續(xù)?！币虼耍S多組織發(fā)現(xiàn)他們在努力招聘和留住合格的網(wǎng)絡(luò)安全專家時，自己的招聘預(yù)算會超支。




商業(yè)咨詢公司德勤風(fēng)險與財務(wù)咨詢公司的美國網(wǎng)絡(luò)與戰(zhàn)略風(fēng)險主管黛博拉?戈爾登（Deborah Golden）指出，早在2019冠狀病毒大流行之前，網(wǎng)絡(luò)安全人才就一直短缺。“如果你的組織能夠招聘到有技術(shù)的網(wǎng)絡(luò)人才——即使你打算永遠(yuǎn)遠(yuǎn)程聘用這些人才——果斷去做吧，”她敦促道。




2.云支出




SAP國家安全服務(wù)(National Security Services，NS2)的首席信息官Ted Wagner說，與網(wǎng)絡(luò)安全相關(guān)的云開銷經(jīng)常被低估或者管理不善。他指出：“通常，云計算的花費不是集中的，組織中的許多部門在沒有適當(dāng)控制的情況下就開始在云環(huán)境中進(jìn)行測試或開發(fā)?！痹谠品?wù)上的過度花費可能會使原本被認(rèn)為是廉價的、甚至是節(jié)約預(yù)算的項目變成嚴(yán)重的財務(wù)負(fù)擔(dān)。




云預(yù)算應(yīng)反映實際定價，同時預(yù)計各個業(yè)務(wù)部門試用和測試時基于云的安全工具的額外費用。Wagner警告稱："在大型組織中，這些增量可以使成本迅速增加。




3.第三方建議和分析




企業(yè)經(jīng)常忽視對第三方漏洞測試的預(yù)算，以及顧問對管理人員和員工提出潛在網(wǎng)絡(luò)威脅建議的預(yù)算。國際律師事務(wù)所Reed Smith的網(wǎng)絡(luò)安全合伙人莎拉?布魯諾(Sarah Bruno)律師表示:“在這里，增加預(yù)算是件好事，這樣你就可以從不止一家公司尋求幫助，確保得到全方位的建議?！?br>



一個組織可能會拒絕為多個外部洞察支付額外的費用，因為它對當(dāng)前的網(wǎng)絡(luò)安全環(huán)境完全有信心，或者因為它每年都在一個固定的預(yù)算下與同一個安全顧問合作。然而，這樣的推理通常是短視的。Bruno說:“最好有來自不同安全公司的意見，特別是對于更敏感的數(shù)據(jù)，以幫助發(fā)現(xiàn)新的威脅，并確保您擁有適當(dāng)?shù)募夹g(shù)，行政和物理保障措施?！?br>



4.事件響應(yīng)




網(wǎng)絡(luò)安全審計和測試公司Kirkpatrick Price的Joseph Kirkpatrick說，事故響應(yīng)(Incident response，IR)是網(wǎng)絡(luò)安全中一個通常被忽視的需求，尤其是在預(yù)算方面。他指出，當(dāng)企業(yè)因數(shù)據(jù)泄露而受害時，一個精心計劃的IR戰(zhàn)略可以拯救組織免于潛在的毀滅性的財務(wù)損失。“花時間雇傭和培訓(xùn)一個負(fù)責(zé)事故反應(yīng)的團(tuán)隊會有回報的，”Kirkpatrick建議。




管理公司博思艾倫(Booz Allen Hamilton)負(fù)責(zé)網(wǎng)絡(luò)安全策略的副總裁魯?shù)?巴卡洛夫(Rudy Bakalov)表示，盡管存在固有的風(fēng)險，很多企業(yè)未能對IR費用進(jìn)行現(xiàn)實的預(yù)算。“在媒體上有大量的組織，即便具有成熟的安全程序，仍然被破壞的例子。很難理解為什么組織不為間接成本制定更好的計劃，比如……保留/培養(yǎng)IR能力。也許他們認(rèn)為自己的組織太大或太小，不可能成為攻擊目標(biāo)，或者他們在賭這種事不會發(fā)生在自己身上?！?br>



博思艾倫咨詢公司(Booz Allen Hamilton)商業(yè)網(wǎng)絡(luò)業(yè)務(wù)負(fù)責(zé)人克里斯托弗?史密斯(Christopher Smith)補充稱，未能解決諸如IR之類的間接網(wǎng)絡(luò)安全成本所帶來的后果，與不充分考慮直接成本一樣重要，尤其是在事件響應(yīng)方面?！皼]有用于IR服務(wù)的預(yù)算金，可能會在遭遇勒索軟件事件時遇到拖延問題，從而造成更大的業(yè)務(wù)中斷、客戶流失和聲譽損失?！?br>



5.重置成本




在判斷潛在脆弱資產(chǎn)的重置成本時，許多企業(yè)對哪些系統(tǒng)可能受到破壞或惡意軟件的影響采取了明顯短視的看法，僅將替換限制在最脆弱的系統(tǒng)上。Zafar說:“從資金的角度來看，這造成的損失遠(yuǎn)遠(yuǎn)超過了任何組織的預(yù)期。當(dāng)然，這還取決于網(wǎng)絡(luò)安全入侵的范圍?！?br>



最近盛行的居家辦公方式增加了重置成本的負(fù)擔(dān)。忽視對脆弱的家庭系統(tǒng)的更換或升級會招致災(zāi)難。Zafar警告說:“如果家庭系統(tǒng)受到影響，即使組織最終解決了該問題，這些系統(tǒng)也可能會無意中重新招致公司的網(wǎng)絡(luò)漏洞。”




6.網(wǎng)絡(luò)安全培訓(xùn)




許多最嚴(yán)重的網(wǎng)絡(luò)安全風(fēng)險源自內(nèi)部。Miller Canfield律師事務(wù)所負(fù)責(zé)網(wǎng)絡(luò)安全和數(shù)據(jù)隱私業(yè)務(wù)的律師雅各布·柯林(Jacob Koering)說:“許多公司承認(rèn)，員工的行為是一個主要的風(fēng)險來源。然而，同樣是這些公司，它們的資金預(yù)算嚴(yán)重不足，甚至忽視了員工培訓(xùn)和內(nèi)部威脅需求?！?br>



Koering說，一個運行良好的網(wǎng)絡(luò)安全項目可以讓員工意識到他們的網(wǎng)絡(luò)安全義務(wù)，并通過內(nèi)部監(jiān)控加強(qiáng)這種意識，從而讓惡意行為者被迅速發(fā)現(xiàn)并抓獲。




7.網(wǎng)絡(luò)保險




許多企業(yè)還沒有意識到網(wǎng)絡(luò)保險的必要性，這一疏忽可能會帶來可怕的財務(wù)后果。北卡羅萊納-格林斯博羅大學(xué)(University of North Carolina-Greensboro)管理系教授尼爾?謝特里(Nir Kshetri)表示:“具有諷刺意味的是，盡管網(wǎng)絡(luò)威脅日益增長，許多公司卻沒有為網(wǎng)絡(luò)保險做預(yù)算?！彼?jīng)常就安全和加密貨幣問題撰寫和發(fā)言。他指出:“截至2020年，美國只有不到20%的小企業(yè)購買了網(wǎng)絡(luò)保險?！?br>



Kshetri警告說，如果沒有網(wǎng)絡(luò)保險，組織可能無法保護(hù)自己免受與網(wǎng)絡(luò)攻擊相關(guān)的重大損失。除了保護(hù)企業(yè)免受潛在的毀滅性財務(wù)打擊外，簡單地申請網(wǎng)絡(luò)保險還可以帶來更強(qiáng)大的網(wǎng)絡(luò)安全基礎(chǔ)架構(gòu)。因此，網(wǎng)絡(luò)保險承保過程可以幫助(組織)發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞，并提供改進(jìn)機(jī)會。（本文出自SCA安全通信聯(lián)盟，轉(zhuǎn)載請注明出處。）