信息化觀察網(wǎng)

對(duì)于網(wǎng)絡(luò)攻擊，防患于未然總比攻擊發(fā)生后修復(fù)損失的成本低得多。盡管如此，很多企業(yè)在編制網(wǎng)絡(luò)安全預(yù)算時(shí)仍存在重大遺漏，會(huì)使企業(yè)很容易遭受重大財(cái)務(wù)損失。

每一家企業(yè)，無(wú)論規(guī)模多大，關(guān)注的重點(diǎn)是什么，都應(yīng)制定合理、準(zhǔn)確的網(wǎng)絡(luò)安全預(yù)算。佐治亞州肯尼索州立大學(xué)信息安全與保障學(xué)教授Humayun Zafar評(píng)論說(shuō)：“只有做好預(yù)算，我們所有的一切才具有現(xiàn)實(shí)和實(shí)際意義。”

Zafar指出，盡管企業(yè)盡最大努力去保護(hù)系統(tǒng)和資源，但網(wǎng)絡(luò)安全事件仍在快速增長(zhǎng)。他警告說(shuō)：“預(yù)算的增長(zhǎng)遠(yuǎn)遠(yuǎn)趕不上這些威脅發(fā)生的速度，更別說(shuō)發(fā)展了。”因此，企業(yè)在投資網(wǎng)絡(luò)安全時(shí)必須要明智。Zafar說(shuō)：“不可能一切都得到保障，所以優(yōu)先次序是關(guān)鍵。”

本文介紹了規(guī)劃人員經(jīng)常忽視或者未能切實(shí)解決的7個(gè)關(guān)鍵網(wǎng)絡(luò)安全預(yù)算項(xiàng)目。

01

員工招聘和留任

很多企業(yè)無(wú)視長(zhǎng)期趨勢(shì)，一直低估招聘和保留熟練的網(wǎng)絡(luò)安全專業(yè)人員的成本。商業(yè)咨詢公司EY Consulting的網(wǎng)絡(luò)安全負(fù)責(zé)人Carolyn Schreiber指出：“在過(guò)去幾年里，合格的專業(yè)人士與成倍增長(zhǎng)的工作崗位之間的差距一直在穩(wěn)步擴(kuò)大。簡(jiǎn)單地說(shuō)，競(jìng)爭(zhēng)依然激烈，人才爭(zhēng)奪戰(zhàn)仍在繼續(xù)。”結(jié)果，很多企業(yè)發(fā)現(xiàn)，在招聘和留住合格的網(wǎng)絡(luò)安全專業(yè)人員時(shí)，他們的招聘預(yù)算嚴(yán)重超支了。

商業(yè)咨詢公司德勤風(fēng)險(xiǎn)與金融咨詢公司的美國(guó)網(wǎng)絡(luò)和戰(zhàn)略風(fēng)險(xiǎn)負(fù)責(zé)人Deborah Golden指出，早在疫情之前，網(wǎng)絡(luò)安全人才就一直短缺。她敦促說(shuō)：“如果你的企業(yè)能夠招聘到有技能的網(wǎng)絡(luò)人才——即便打算讓這些人一直保持遠(yuǎn)程工作狀態(tài)，也要把他們招進(jìn)來(lái)。”

02

云開(kāi)支

SAP國(guó)家安全服務(wù)公司首席信息安全官Ted Wagner表示，與網(wǎng)絡(luò)安全相關(guān)的云支出往往被低估或者管理不善。他認(rèn)為：“通常情況下，云支出并不是集中的，一家企業(yè)中的很多部門(mén)在沒(méi)有適當(dāng)控制的情況下就開(kāi)始在云環(huán)境中進(jìn)行測(cè)試或者開(kāi)發(fā)。”在云服務(wù)上的過(guò)度花費(fèi)可能會(huì)使原本被認(rèn)為是成本低廉、甚至可能節(jié)省預(yù)算的項(xiàng)目演變成嚴(yán)重拖累財(cái)務(wù)資源的項(xiàng)目。

云預(yù)算應(yīng)反映實(shí)際的定價(jià)，同時(shí)預(yù)測(cè)出各個(gè)業(yè)務(wù)部門(mén)試用和測(cè)試基于云安全工具的額外成本。Wagner警告說(shuō)：“在一家大型企業(yè)中，這些逐漸增加的成本會(huì)很快累積起來(lái)。”

03

第三方建議和分析

企業(yè)往往忽視了第三方漏洞測(cè)試的預(yù)算，以及聘請(qǐng)顧問(wèn)就潛在網(wǎng)絡(luò)威脅向管理者和員工提供建議的預(yù)算。國(guó)際律師事務(wù)所Reed Smith的網(wǎng)絡(luò)安全合伙人Sarah Bruno律師建議：“在這方面有較大的預(yù)算是件好事，這樣就可以從多家公司那里獲得非常全面的建議。”

一家企業(yè)可能會(huì)拒絕為多項(xiàng)外部深度分析支付額外費(fèi)用，因?yàn)樗鼘?duì)其當(dāng)前的網(wǎng)絡(luò)安全環(huán)境完全有信心，或者因?yàn)樗磕暌怨潭ǖ念A(yù)算與同一位安全顧問(wèn)合作。然而，這種想法通常是短視的。Bruno說(shuō)：“最好是從不同的安全公司獲得信息，特別是對(duì)于更敏感的數(shù)據(jù)，這有助于發(fā)現(xiàn)新的威脅，并確保企業(yè)有適當(dāng)?shù)募夹g(shù)、管理和物理保護(hù)措施到位。”

04

事件響應(yīng)

網(wǎng)絡(luò)安全審計(jì)和測(cè)試公司Kirkpatrick Price的Joseph Kirkpatrick說(shuō)，事件響應(yīng)（IR，Incident Response）通常是被忽視的網(wǎng)絡(luò)安全需求，在預(yù)算方面尤其如此。他指出，當(dāng)一家企業(yè)因數(shù)據(jù)泄露而受害時(shí)，精心策劃的IR策略可以使企業(yè)免于可能出現(xiàn)的災(zāi)難性財(cái)務(wù)損失。Kirkpatrick建議說(shuō)：“花時(shí)間招聘并培訓(xùn)一個(gè)負(fù)責(zé)IR的團(tuán)隊(duì)是會(huì)有回報(bào)的。”

管理公司博思艾倫漢密爾頓（Booz Allen Hamilton）負(fù)責(zé)網(wǎng)絡(luò)安全戰(zhàn)略的副總裁Rudy Bakalov認(rèn)為，盡管存在固有的風(fēng)險(xiǎn)，但企業(yè)仍然無(wú)法對(duì)IR費(fèi)用進(jìn)行比較實(shí)際的預(yù)算。他指出：“盡管媒體上有大量企業(yè)（大都有成熟的安全程序）被攻破的例子，仍然很難想象為什么企業(yè)沒(méi)有為間接成本制訂更好的計(jì)劃，比如保持/加強(qiáng)IR能力。也許他們認(rèn)為自己的企業(yè)太大或者太小，不可能成為攻擊目標(biāo)，或者他們?cè)谫€這種事不會(huì)發(fā)生在自己身上。”

博思艾倫漢密爾頓公司商業(yè)網(wǎng)絡(luò)業(yè)務(wù)的負(fù)責(zé)人Christopher Smith補(bǔ)充說(shuō)，未能解決IR等間接網(wǎng)絡(luò)安全成本的后果，并不亞于沒(méi)有充分考慮直接成本，尤其是在IR領(lǐng)域。沒(méi)有IR服務(wù)預(yù)算，可能導(dǎo)致勒索軟件等事件被不必要的拖延，從而造成更大的業(yè)務(wù)中斷、客戶流失和聲譽(yù)受損。”

05

替換成本

在判斷潛在易受攻擊資產(chǎn)的替換成本時(shí)，對(duì)于哪些系統(tǒng)可能會(huì)受到泄露事件或者惡意軟件的影響，很多企業(yè)的觀點(diǎn)是非常短視的，他們僅僅是替換最易受攻擊的系統(tǒng)。Zafar說(shuō)：“從成本的角度來(lái)看，這導(dǎo)致的損失遠(yuǎn)遠(yuǎn)超過(guò)了一家企業(yè)的任何預(yù)期。嚴(yán)重程度將取決于網(wǎng)絡(luò)安全泄露事件涉及的范圍。”

最近轉(zhuǎn)向在家工作增加了替換成本負(fù)擔(dān)，使得疫情前的估計(jì)付諸東流。忽視對(duì)脆弱的家庭系統(tǒng)的替換或者升級(jí)會(huì)招致災(zāi)難。Zafar警告說(shuō)：“如果家庭系統(tǒng)受到影響，這些系統(tǒng)可能會(huì)無(wú)意中在企業(yè)網(wǎng)絡(luò)中重新造成漏洞——即使企業(yè)最終已經(jīng)解決了這些問(wèn)題。”

06

網(wǎng)絡(luò)安全培訓(xùn)

很多最嚴(yán)重的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)源自內(nèi)部。Miller Canfield律師事務(wù)所網(wǎng)絡(luò)安全和數(shù)據(jù)隱私業(yè)務(wù)的律師Jacob Koering說(shuō)：“很多公司都承認(rèn)員工的行為是風(fēng)險(xiǎn)的主要來(lái)源。”他補(bǔ)充道：“然而，這些公司嚴(yán)重缺乏資金，甚至忽視了員工培訓(xùn)和內(nèi)部威脅需求。”

Koering說(shuō)，一項(xiàng)運(yùn)行良好的網(wǎng)絡(luò)安全計(jì)劃可以確保員工意識(shí)到他們的網(wǎng)絡(luò)安全義務(wù)，并通過(guò)內(nèi)部監(jiān)控加強(qiáng)這種意識(shí)，以確保惡意行為人能被迅速發(fā)現(xiàn)并抓獲。

07

網(wǎng)絡(luò)保險(xiǎn)

很多企業(yè)還沒(méi)有意識(shí)到網(wǎng)絡(luò)保險(xiǎn)的必要性——這方面的疏忽可能帶來(lái)可怕的財(cái)務(wù)后果。北卡羅來(lái)納大學(xué)格林斯博羅分校管理系教授Nir Kshetri經(jīng)常就安全和加密貨幣問(wèn)題撰寫(xiě)文章，發(fā)表評(píng)論，他說(shuō)：“具有諷刺意味的是，盡管網(wǎng)絡(luò)威脅在不斷增加，很多公司卻沒(méi)有為網(wǎng)絡(luò)保險(xiǎn)做預(yù)算。”他指出：“截至2020年，美國(guó)只有不到20%的小企業(yè)購(gòu)買了網(wǎng)絡(luò)保險(xiǎn)。”

Kshetri警告說(shuō)，沒(méi)有網(wǎng)絡(luò)保險(xiǎn)，企業(yè)可能無(wú)法保護(hù)自己免受與網(wǎng)絡(luò)攻擊相關(guān)的重大損失。除了保護(hù)企業(yè)免受潛在的毀滅性財(cái)務(wù)打擊外，簡(jiǎn)單地申請(qǐng)網(wǎng)絡(luò)保險(xiǎn)就能帶來(lái)更強(qiáng)大的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施。他說(shuō)：“網(wǎng)絡(luò)保險(xiǎn)以美元價(jià)值表示網(wǎng)絡(luò)風(fēng)險(xiǎn)。因此，網(wǎng)絡(luò)保險(xiǎn)承保流程可以幫助企業(yè)發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞，有機(jī)會(huì)進(jìn)行改進(jìn)。”

作者：本文作者John Edwards是一位資深的商業(yè)技術(shù)記者。他的文章發(fā)表在《紐約時(shí)報(bào)》、《華盛頓郵報(bào)》以及很多商業(yè)和技術(shù)出版物上，包括CIO、ComputerWorld、《網(wǎng)絡(luò)世界》、CFO雜志、IBM數(shù)據(jù)管理雜志、RFID雜志和《電子設(shè)計(jì)》等。

編譯：Charles

原文網(wǎng)址：https://www.csoonline.com/article/3583604/7-overlooked-cybersecurity-costs-that-could-bust-your-budget.html