2018网络安全预算:到底花多少钱才能有效保护企
时间:2018-05-04 17:36 来源:网络整理 作者:墨客科技 点击:次
2018网络安全预算:到底花多少钱才能有效保护企业 2018-01-15 11:04 来源:安全牛 原标题:2018网络安全预算:到底花多少钱才能有效保护企业 去年又是重大数据泄露频发的一年,安全问题成为了每家公司管理层肯定会考虑的事项之一。
安全相关的各种考虑中,最重要的或许就是到底要花多少钱才能在大范围网络攻击和数据泄露时代有效保护公司数据了。 埃森哲咨询公司发布的《2017网络犯罪损失》 (https://www.accenture.com/t20170926T072837Z__w__/us-en/_acnmedia/PDF-61/Accenture-2017-CostCyberCrimeStudy.pdf)显示,2017年网络安全支出比上一年度增长23%。大部分支出源于网络攻击频率及其所造成损失的增长,每起安全事件导致的平均损失高达100万美元。 为避免网络安全事件造成的破坏和损失,公司企业需建立周全而明智的安全预算,该预算需考虑到自身主要安全漏洞,又有助于强化自身防御。 本文将信息及网络安全支出分为两类:合规和恢复,并为公司企业奉上以这两类支出为指引的最佳安全预算方法。 区分合规支出与恢复支出 建立安全预算的第一步,就是区分安全相关支出的两大主要门类:合规支出与恢复支出。 合规支出 是为满足安全政策或规定而产生的预防性开支。合规支出主要与预防措施相关,比如防火墙、安全软件投资、员工培训项目等。 合规支出大部分都会编入预算,而公司预算中包含的合规支出数额最好来自于决策者对安全资源分配领域深思熟虑的结果。 恢复支出 则是由安全问题导致的开支。恢复支出涵盖较广,包含了源于数据泄露或各类攻击所致的全部开支,比如盗窃、勒索、商机丧失,还有为恢复信誉而做的公关努力。 为网络攻击做预算非常难,因为其所造成的损失取决于多种因素,比如攻击的严重性,以及公司是否做好了网络攻击恢复预案。 合规与恢复相比,前者明显更好做也更可取,因为它是有规划的支出,而且一般比恢复要便宜些。企业安全数据交换解决方案提供商Globalscape表示,不合规的代价,或者说不遵从政策规定的后果,大大超过合规的成本。 合规开支高未必能降低恢复成本。但是,更高的合规支出可以让公司更好地避免恢复支出。 安全预算基于审计 凡事预而后立,在往安全中投入任何资源之前,需对公司基础设施中的全部安全终端进行审计,确定自己预算的重点都在哪里。 进行审计可以让公司了解主要漏洞,认清安全投资应重点放在什么控制措施上。 比如说,如果你在审计中发现公司安全漏洞集中在糟糕的网络管理上,比如雇员出差或在家办公时经常不用VPN连接公司系统,你就可以把你的预算落在解决网络接入的缺陷上,比如重新配置设备,只允许经由VPN或安全网络连接公司系统。 安全预算要考虑安全人才短缺情况 网络威胁态势引出了所有公司企业在制定安全预算的时候都需要考虑的两大安全现实。 第一个就是网络安全人才短缺,或者说当前市场上合格网络安全人才的缺乏。第二个残酷的现实是,随着网络罪犯人数的倍增和技术的改进,公司企业遭受网络攻击的可能性也大大增加了。 因为缺乏确切的解决方案,这两个问题目前都相当严峻。网络安全人才短缺的核心问题在于有能力的网络安全雇员供小于求,谁都不能凭空造出大量人才来填补该领域的人才短缺。 而且,网络罪犯的扩张也没有多少阻力,尤其是在当今全球联网的世界,很多攻击都是在受害公司或组织的监管范围之外发起的。 这两大威胁还相互促进:网络安全人才短缺增加了公司遭到网络攻击的几率。信息系统安全联盟(ISSA)的研究表明,缺乏足够的网络人才,事实上给约20%的公司招致了网络攻击。另外,网络安全人才缺口在安全分析领域尤其大,这使得公司企业更加难以确定自身脆弱领域,不能有效标定其安全投资。 (责任编辑:admin) |
