組織應(yīng)該在網(wǎng)絡(luò)安全方面投入多少錢(qián)？

每個(gè)組織都需要開(kāi)發(fā)自己的持續(xù)性流程來(lái)評(píng)估需求并證明安全支出的合理性。以下是兩名首席信息安全官 (CISO) 對(duì)此給出的建議。

一個(gè)組織究竟應(yīng)該在網(wǎng)絡(luò)安全方面花費(fèi)多少?答案很簡(jiǎn)單：根據(jù)具體情況而定。

影響組織具體花費(fèi)的因素有很多，包括公司所從事的業(yè)務(wù)類(lèi)型，其處理的個(gè)人或敏感數(shù)據(jù)或知識(shí)產(chǎn)權(quán)的類(lèi)型，其面臨的監(jiān)管要求，其 IT 基礎(chǔ)架構(gòu)的復(fù)雜性，其成為惡意行為者攻擊目標(biāo)的可能性等等。

與 “一個(gè)組織應(yīng)該在網(wǎng)絡(luò)安全方面花費(fèi)多少” 相比，一個(gè)更為重要的問(wèn)題可能是：“一個(gè)組織應(yīng)該如何確定需要在網(wǎng)絡(luò)安全方面花費(fèi)多少?” 企業(yè)組織通過(guò)開(kāi)發(fā)持續(xù)性流程來(lái)確定適當(dāng)?shù)陌踩С鏊?，?duì)于有效保護(hù)系統(tǒng)和數(shù)據(jù)而言至關(guān)重要。

諸多因素推動(dòng)安全支出

最近發(fā)布的一些研究報(bào)告展示了一些組織在安全方面的支出現(xiàn)狀。CIO 網(wǎng)站于 2018 年 11 月針對(duì)全球 683 位 IT 高管進(jìn)行的一項(xiàng)名為《2019 CIO狀態(tài)調(diào)查》的報(bào)告顯示，絕大多數(shù)受訪者表示，IT 安全性支出只占據(jù)其公司IT總預(yù)算的 15%;近 1/4(23%)的受訪組織將其 IT 總預(yù)算的 20% 或更多用于安全性方面。

調(diào)查還顯示，企業(yè)規(guī)模似乎并不是一個(gè)重要的影響因素，因?yàn)榫桶踩哉紦?jù) IT 總預(yù)算的份額而言，小型企業(yè)實(shí)際上與大型企業(yè)相差無(wú)幾。而就行業(yè)而言，那些將預(yù)算的高份額用于安全方面的行業(yè)主要有專(zhuān)業(yè)服務(wù)、金融服務(wù)和高科技領(lǐng)域。

當(dāng)被問(wèn)及 “2019年哪些業(yè)務(wù)計(jì)劃將在推動(dòng)其組織的 IT 投資中發(fā)揮最重要的作用” 時(shí)，40% 的 IT 主管表示需要增加網(wǎng)絡(luò)安全保護(hù)。緊隨其后的業(yè)務(wù)計(jì)劃還包括提高響應(yīng)的運(yùn)營(yíng)效率，改善客戶體驗(yàn)，發(fā)展業(yè)務(wù)、改變現(xiàn)有業(yè)務(wù)流程以及提高盈利能力等等。

除此之外，根據(jù) IDG Communications 對(duì)全球 664 名 “以安全為重點(diǎn)” 的專(zhuān)業(yè)人員進(jìn)行的另一項(xiàng)調(diào)查顯示，近 2/3 (60%) 的企業(yè)組織計(jì)劃明年增加其安全預(yù)算，且平均增幅為 13%。

決定安全支出優(yōu)先級(jí)的因素包括優(yōu)秀實(shí)踐 (74%)，合規(guī)性授權(quán) (69%)，響應(yīng)組織發(fā)生的安全事件 (35%)，董事會(huì)授權(quán) (33%)，以及響應(yīng)發(fā)生在另一個(gè)組織的安全事件 (29%)。

國(guó)際數(shù)據(jù)公司 (IDC) 的網(wǎng)絡(luò)安全產(chǎn)品項(xiàng)目副總裁 Frank Dickson 表示，一般來(lái)說(shuō)，組織應(yīng)該將其 IT 預(yù)算的 7% 到 10% 用于安全方面。但是，如果您的基礎(chǔ)架構(gòu)非常復(fù)雜或受保護(hù)的資產(chǎn)極具價(jià)值，那么您也可以將預(yù)算份額提高至 15% 或更多。同樣地，在某些情況下，5% 的預(yù)算份額也可能是合適的。

安全公司如何確定其安全支出?

HITRUST(提供風(fēng)險(xiǎn)管理和安全服務(wù)的公司)首席信息安全官 Jason Taule 表示，在 HITRUST 公司，安全預(yù)算多年來(lái)一直保持穩(wěn)定，這反映我們的領(lǐng)導(dǎo)團(tuán)隊(duì)始終致力于認(rèn)真對(duì)待安全和隱私問(wèn)題，同時(shí)保持著一個(gè)足夠嚴(yán)謹(jǐn)?shù)挠?jì)劃 “以解決公司自身面臨的威脅以及合作伙伴和將數(shù)據(jù)托管在 HITRUST 的客戶所面臨的風(fēng)險(xiǎn)敞口?！?/p>

1. 提高運(yùn)營(yíng)效率可確保安全支出穩(wěn)定

Taule 指出，“安全預(yù)算多年來(lái)一直保持穩(wěn)定” 的事實(shí)可能有些誤導(dǎo)。與大多數(shù)企業(yè)組織一樣，我們?nèi)匀恍枰w更廣泛的威脅和風(fēng)險(xiǎn)敞口，但同時(shí)也要實(shí)現(xiàn)更高的運(yùn)營(yíng)效率。因此，為了保持預(yù)算穩(wěn)定，這兩方面需要相互協(xié)調(diào)。簡(jiǎn)單來(lái)說(shuō)就是，如果不提高運(yùn)營(yíng)效率，支出將逐年增加。

2. 控制框架定義了政策和需求

為了幫助確定公司應(yīng)該在安全方面花費(fèi)多少，HITRUST 采用了一個(gè)控制框架來(lái)定義它需要實(shí)施的技術(shù)、管理和物理政策、程序以及亮點(diǎn)產(chǎn)品。

Taule 表示，我們還做了有關(guān)于持續(xù)監(jiān)控的事情(這件事也是我們建議客戶做的)，并且已經(jīng)實(shí)施了一些措施和指標(biāo)來(lái)管理我們的安全計(jì)劃。這里涉及到了管理問(wèn)題，因?yàn)槿魏斡嘘P(guān)安全問(wèn)題的決定都必須要有“反饋”，如此一來(lái)，組織才能夠驗(yàn)證該決定是否實(shí)現(xiàn)了預(yù)期的效果，或是根據(jù)反饋信息和需求做出適當(dāng)?shù)恼{(diào)整。

3. 確定收益遞減點(diǎn)

為了確定適當(dāng)?shù)闹С鏊剑M織需要確定額外支出在降低風(fēng)險(xiǎn)方面所產(chǎn)生的邊際收益(指增加一單位產(chǎn)品的銷(xiāo)售所增加的收益，即最后一單位產(chǎn)品的售出所取得的收益)的程度。這是組織可以展示其盡職調(diào)查的關(guān)鍵點(diǎn)，因?yàn)榈贸龅倪@個(gè)程度水平是經(jīng)過(guò)精心推理且可辯護(hù)的。

4. 一些安全支出是強(qiáng)制性的

很少有組織能夠奢望完全由自己來(lái)決定在哪些方面花多少錢(qián)，大多數(shù)企業(yè)組織都面臨著各種監(jiān)管要求、客戶期望或是合作伙伴的特殊要求，這些因素都會(huì)產(chǎn)生一些額外的支出水平。

在某些情況下，至少在初始階段，企業(yè)可能能夠在其定價(jià)中反映出部分費(fèi)用。但最終，除了最嚴(yán)格的要求，其他所有要求都將成為客戶希望企業(yè)付出的商業(yè)成本。

有些組織可能比其他組織更重視安全和隱私問(wèn)題，甚至可能選擇將其作為與競(jìng)爭(zhēng)對(duì)手區(qū)分的秘訣。因此，他們可能會(huì)選擇在安全方面投入更多資金。

5. 進(jìn)行重復(fù)性風(fēng)險(xiǎn)評(píng)估

在基本層面上，HITRUST 基于常規(guī)、定期和重復(fù)性風(fēng)險(xiǎn)評(píng)估回答了在安全方面花費(fèi)多少的問(wèn)題。如果是風(fēng)險(xiǎn)沒(méi)有發(fā)生改變，那么我們就不需要調(diào)整支出。如果我們得出的結(jié)論是，我們面臨的是超出我們接受能力的風(fēng)險(xiǎn)水平，那么我們就需要對(duì)支出情況進(jìn)行調(diào)整。重要的是要強(qiáng)調(diào)，在安全方面花費(fèi)多少的問(wèn)題沒(méi)有一成不變的答案。

科羅拉多州是如何實(shí)現(xiàn)安全支出增長(zhǎng)的?

科羅拉多州今年在安全方面的支出為 2150 萬(wàn)美元(約占 IT 總支出的 6%)，高于 2018 年的 1270 萬(wàn)美元(約占 IT 總支出的 4%)。據(jù)科羅拉多州州長(zhǎng)辦公室首席信息安全官 Deborah Blyth 稱，這是該州政府有史以來(lái)很大的安全預(yù)算增長(zhǎng)。

1. 創(chuàng)建一個(gè)框架來(lái)衡量安全成熟度

一般來(lái)說(shuō)，很難確定投入多少錢(qián)是足夠的，以及適當(dāng)?shù)闹С鏊綉?yīng)該是多少?？屏_拉多州采用了一個(gè)框架——20 大安全控制(20 Critical Security Controls)，并根據(jù)該框架衡量安全成熟度。

然后，這種持續(xù)的成熟度評(píng)估被用于證明需要額外的資金，來(lái)實(shí)施額外的控制措施和子控制措施。如果資金阻礙我們?nèi)鎸?shí)施這些子控制措施，我們可能會(huì)將其添加到預(yù)算請(qǐng)求中。諸如不斷變化的機(jī)構(gòu)需求和當(dāng)前面臨的威脅等因素也在我們的預(yù)算請(qǐng)求中。

2. 鑒于當(dāng)前的威脅證實(shí)支出需求

例如，科羅拉多州交通部在 2018 年 2 月經(jīng)歷的安全事故嚴(yán)重影響了今年的預(yù)算請(qǐng)求。缺乏足夠的資金推遲了必要的安全改進(jìn)的實(shí)施，這些改進(jìn)可以防止或減輕安全事件的影響，盡管這些努力已經(jīng)進(jìn)行了好多年。目前，科羅拉多州已經(jīng)成功構(gòu)建了業(yè)務(wù)案例并提高了其資金水平，以便在今年完成已確定的安全改進(jìn)方案。

3. 將支出與同行組織進(jìn)行比較

科羅拉多州還使用了國(guó)家首席信息官協(xié)會(huì) (NASCIO) 每隔一年發(fā)布的一項(xiàng)研究，以了解其安全投資與其他州的比較情況。這項(xiàng)研究表明，各州投入了 6%-10% 的 IT 預(yù)算用于安全方面。

當(dāng)前文章：組織應(yīng)該在網(wǎng)絡(luò)安全方面投入多少錢(qián)？
文章網(wǎng)址：http://www.bm7419.com/news2/99602.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供手機(jī)網(wǎng)站建設(shè)、響應(yīng)式網(wǎng)站、自適應(yīng)網(wǎng)站、網(wǎng)站導(dǎo)航、App開(kāi)發(fā)、建站公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)