[[429491]]

日前發(fā)布的2021年網絡安全威脅報告指出，在后疫情時代，網絡攻擊仍在不斷增加，與2020年相比增加了17%。勒索軟件仍然是網絡攻擊者經常使用的惡意軟件。隨著2021年平均贖金支付價值增長了82%，可以理解數據泄露問題推動安全支出的原因。企業(yè)必須能夠向他們的客戶和合作伙伴證明他們已經采取了明確而強大的安全措施。

但是，為數據泄露進行投資可能是一項挑戰(zhàn)，這使得證明安全支出的投資回報率變得困難。

改變態(tài)度：考慮衡量積極的業(yè)務成果

根據數據泄露的潛在成本分配安全預算側重于負面后果，并不總是有助于建立有效的安全投資業(yè)務案例。

與其相反，企業(yè)應該關注安全投資如何展示積極的業(yè)務回報，例如這些安全支出的關鍵催化劑：

• 競爭優(yōu)勢
• 最佳實踐和客戶保證
• 合規(guī)性
• 外部審計
• 供應鏈、投標或采購流程的合同義務

因此，確定了安全性為業(yè)務帶來積極成果的五個關鍵領域。但它們能否幫助企業(yè)最大限度地提高安全預算并展示投資回報率?以下進行討論。

競爭優(yōu)勢：不再是安全支出的商業(yè)案例

將時光回溯到2011年，流媒體供應商Netflix公司當時仍在向用戶出租出售DVD光盤，很少有員工在家遠程工作，而那時企業(yè)仍然在1995年數據保護指令下運營。當時加強數據安全性很可能會提供競爭優(yōu)勢。

然而，對于當今的大多數行業(yè)而言，情況并非如此，因為強大的數據安全性已經成為必備的功能。良好的安全實踐是一項要求，因此競爭優(yōu)勢不能再作為安全支出的有效業(yè)務案例來呈現(xiàn)。

最佳實踐：量化的挑戰(zhàn)

可以引用最佳實踐作為在企業(yè)安全預算中提供投資回報率(ROI)嗎?遵循最佳實踐的企業(yè)肯定能夠保護他們的知識產權和關鍵數據資產。此外，他們將顯著降低業(yè)務連續(xù)性中斷的風險。

但是對于某些企業(yè)來說，準確量化“最佳實踐”對其業(yè)務的意義可能是一項艱巨且耗時的挑戰(zhàn)。而采用最佳實踐策略可能需要大量投資，因此其成本高昂。此外，最佳實踐戰(zhàn)略通常與業(yè)務戰(zhàn)略以及監(jiān)管和合規(guī)要求保持一致。

雖然最佳實踐數據安全策略會向客戶和合作伙伴發(fā)出積極的信息，但它為證明企業(yè)的安全預算中的特定投資回報率(ROI)提供了一個案例。

合規(guī)性：業(yè)務成本

盡管合規(guī)性是安全投資的驅動因素，但它通常被視為企業(yè)開展業(yè)務的一種成本——如果不遵守監(jiān)管要求，企業(yè)的業(yè)務就會處在風險之中。

GDPR法規(guī)是跨行業(yè)的法規(guī)，而有些法規(guī)是針對特定行業(yè)的，例如英國金融行為監(jiān)管局(FCA) 法規(guī)、國際武器貿易法規(guī)(ITAR)和美國健康保險流通與責任法案(HIPAA)。此類法規(guī)的合規(guī)性可能并不適合IT安全技能組合，在這些技能組合中，這些法規(guī)通常被認為是提高安全性的理由。

實現(xiàn)合規(guī)性可能需要大量投資，這些投資不僅在技術方面，而且在專業(yè)的人員和流程方面。例如，企業(yè)必須遵守有關運營和技術要求才能符合支付卡行業(yè)數據安全標準(PCIDSS)的要求。

因此，合規(guī)性通常屬于業(yè)務成本，因此在嘗試證明安全性預算中的投資回報率(ROI)時沒有必要引用。

外部審計：推動安全支出增長

那么外部審計能否在安全預算中展示投資回報率?其回答是不能。在大多數情況下，外部審計是作為對法律法規(guī)或企業(yè)的團體要求的反應，這些要求將它們分配給一般業(yè)務責任。企業(yè)需要對審計的輸出、結論和建議做出反應。任何差距都需要額外或重新分配預算，這使其成為一項業(yè)務責任。因此，雖然外部審計可能會推動安全支出增長，但它們并不能真正幫助顯示安全支出的投資回報率。

合同義務：明確規(guī)定安全要求

當涉及到企業(yè)的供應鏈中的合同義務或投標和采購流程時，將明確規(guī)定保護企業(yè)的數據或網絡所需的安全性。

雖然很多企業(yè)會根據其風險策略采用不同的方法，但都應該期待共同的安全控制措施。例如，這些可能包括年度滲透測試、網絡釣魚評估、定期防火墻審計以及安全信息和事件管理(SIEM)或安全運營中心(SOC)，以監(jiān)控安全事件并快速響應。

這些具體而明確的合同義務使得在安全預算中展示投資回報率變得容易。對于大多數企業(yè)來說，可以在三個關鍵領域找到投資回報率：

• 維護現(xiàn)有的服務協(xié)議
• 簡化新客戶的入職流程
• 持續(xù)向客戶保證他們遵守合同義務。

與客戶或供應商合作時通常需要的安全控制包括安全認證和信息安全框架，如ISO 27001或其更經濟、更可實現(xiàn)的替代方案IAMSE治理標準，其中包括GDPR法規(guī)和Cyber Essentials法規(guī)。在這一點上，如果企業(yè)向政府機構投標，Cyber Essentials和Cyber Essentials Plus是必不可少的。

這些控制需要大量的時間和投資，但它們表明了對客戶和供應鏈的明確和具體的安全承諾，在這樣的環(huán)境中，很容易證明明確和積極的投資回報率。