[[429491]]

日前發(fā)布的2021年網(wǎng)絡(luò)安全威脅報(bào)告指出，在后疫情時(shí)代，網(wǎng)絡(luò)攻擊仍在不斷增加，與2020年相比增加了17%。勒索軟件仍然是網(wǎng)絡(luò)攻擊者經(jīng)常使用的惡意軟件。隨著2021年平均贖金支付價(jià)值增長(zhǎng)了82%，可以理解數(shù)據(jù)泄露問題推動(dòng)安全支出的原因。企業(yè)必須能夠向他們的客戶和合作伙伴證明他們已經(jīng)采取了明確而強(qiáng)大的安全措施。

但是，為數(shù)據(jù)泄露進(jìn)行投資可能是一項(xiàng)挑戰(zhàn)，這使得證明安全支出的投資回報(bào)率變得困難。

改變態(tài)度：考慮衡量積極的業(yè)務(wù)成果

根據(jù)數(shù)據(jù)泄露的潛在成本分配安全預(yù)算側(cè)重于負(fù)面后果，并不總是有助于建立有效的安全投資業(yè)務(wù)案例。

與其相反，企業(yè)應(yīng)該關(guān)注安全投資如何展示積極的業(yè)務(wù)回報(bào)，例如這些安全支出的關(guān)鍵催化劑：

• 競(jìng)爭(zhēng)優(yōu)勢(shì)
• 最佳實(shí)踐和客戶保證
• 合規(guī)性
• 外部審計(jì)
• 供應(yīng)鏈、投標(biāo)或采購(gòu)流程的合同義務(wù)

因此，確定了安全性為業(yè)務(wù)帶來(lái)積極成果的五個(gè)關(guān)鍵領(lǐng)域。但它們能否幫助企業(yè)最大限度地提高安全預(yù)算并展示投資回報(bào)率?以下進(jìn)行討論。

競(jìng)爭(zhēng)優(yōu)勢(shì)：不再是安全支出的商業(yè)案例

將時(shí)光回溯到2011年，流媒體供應(yīng)商N(yùn)etflix公司當(dāng)時(shí)仍在向用戶出租出售DVD光盤，很少有員工在家遠(yuǎn)程工作，而那時(shí)企業(yè)仍然在1995年數(shù)據(jù)保護(hù)指令下運(yùn)營(yíng)。當(dāng)時(shí)加強(qiáng)數(shù)據(jù)安全性很可能會(huì)提供競(jìng)爭(zhēng)優(yōu)勢(shì)。

然而，對(duì)于當(dāng)今的大多數(shù)行業(yè)而言，情況并非如此，因?yàn)閺?qiáng)大的數(shù)據(jù)安全性已經(jīng)成為必備的功能。良好的安全實(shí)踐是一項(xiàng)要求，因此競(jìng)爭(zhēng)優(yōu)勢(shì)不能再作為安全支出的有效業(yè)務(wù)案例來(lái)呈現(xiàn)。

最佳實(shí)踐：量化的挑戰(zhàn)

可以引用最佳實(shí)踐作為在企業(yè)安全預(yù)算中提供投資回報(bào)率(ROI)嗎?遵循最佳實(shí)踐的企業(yè)肯定能夠保護(hù)他們的知識(shí)產(chǎn)權(quán)和關(guān)鍵數(shù)據(jù)資產(chǎn)。此外，他們將顯著降低業(yè)務(wù)連續(xù)性中斷的風(fēng)險(xiǎn)。

但是對(duì)于某些企業(yè)來(lái)說(shuō)，準(zhǔn)確量化“最佳實(shí)踐”對(duì)其業(yè)務(wù)的意義可能是一項(xiàng)艱巨且耗時(shí)的挑戰(zhàn)。而采用最佳實(shí)踐策略可能需要大量投資，因此其成本高昂。此外，最佳實(shí)踐戰(zhàn)略通常與業(yè)務(wù)戰(zhàn)略以及監(jiān)管和合規(guī)要求保持一致。

雖然最佳實(shí)踐數(shù)據(jù)安全策略會(huì)向客戶和合作伙伴發(fā)出積極的信息，但它為證明企業(yè)的安全預(yù)算中的特定投資回報(bào)率(ROI)提供了一個(gè)案例。

合規(guī)性：業(yè)務(wù)成本

盡管合規(guī)性是安全投資的驅(qū)動(dòng)因素，但它通常被視為企業(yè)開展業(yè)務(wù)的一種成本——如果不遵守監(jiān)管要求，企業(yè)的業(yè)務(wù)就會(huì)處在風(fēng)險(xiǎn)之中。

GDPR法規(guī)是跨行業(yè)的法規(guī)，而有些法規(guī)是針對(duì)特定行業(yè)的，例如英國(guó)金融行為監(jiān)管局(FCA) 法規(guī)、國(guó)際武器貿(mào)易法規(guī)(ITAR)和美國(guó)健康保險(xiǎn)流通與責(zé)任法案(HIPAA)。此類法規(guī)的合規(guī)性可能并不適合IT安全技能組合，在這些技能組合中，這些法規(guī)通常被認(rèn)為是提高安全性的理由。

實(shí)現(xiàn)合規(guī)性可能需要大量投資，這些投資不僅在技術(shù)方面，而且在專業(yè)的人員和流程方面。例如，企業(yè)必須遵守有關(guān)運(yùn)營(yíng)和技術(shù)要求才能符合支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCIDSS)的要求。

因此，合規(guī)性通常屬于業(yè)務(wù)成本，因此在嘗試證明安全性預(yù)算中的投資回報(bào)率(ROI)時(shí)沒有必要引用。

外部審計(jì)：推動(dòng)安全支出增長(zhǎng)

那么外部審計(jì)能否在安全預(yù)算中展示投資回報(bào)率?其回答是不能。在大多數(shù)情況下，外部審計(jì)是作為對(duì)法律法規(guī)或企業(yè)的團(tuán)體要求的反應(yīng)，這些要求將它們分配給一般業(yè)務(wù)責(zé)任。企業(yè)需要對(duì)審計(jì)的輸出、結(jié)論和建議做出反應(yīng)。任何差距都需要額外或重新分配預(yù)算，這使其成為一項(xiàng)業(yè)務(wù)責(zé)任。因此，雖然外部審計(jì)可能會(huì)推動(dòng)安全支出增長(zhǎng)，但它們并不能真正幫助顯示安全支出的投資回報(bào)率。

合同義務(wù)：明確規(guī)定安全要求

當(dāng)涉及到企業(yè)的供應(yīng)鏈中的合同義務(wù)或投標(biāo)和采購(gòu)流程時(shí)，將明確規(guī)定保護(hù)企業(yè)的數(shù)據(jù)或網(wǎng)絡(luò)所需的安全性。

雖然很多企業(yè)會(huì)根據(jù)其風(fēng)險(xiǎn)策略采用不同的方法，但都應(yīng)該期待共同的安全控制措施。例如，這些可能包括年度滲透測(cè)試、網(wǎng)絡(luò)釣魚評(píng)估、定期防火墻審計(jì)以及安全信息和事件管理(SIEM)或安全運(yùn)營(yíng)中心(SOC)，以監(jiān)控安全事件并快速響應(yīng)。

這些具體而明確的合同義務(wù)使得在安全預(yù)算中展示投資回報(bào)率變得容易。對(duì)于大多數(shù)企業(yè)來(lái)說(shuō)，可以在三個(gè)關(guān)鍵領(lǐng)域找到投資回報(bào)率：

• 維護(hù)現(xiàn)有的服務(wù)協(xié)議
• 簡(jiǎn)化新客戶的入職流程
• 持續(xù)向客戶保證他們遵守合同義務(wù)。

與客戶或供應(yīng)商合作時(shí)通常需要的安全控制包括安全認(rèn)證和信息安全框架，如ISO 27001或其更經(jīng)濟(jì)、更可實(shí)現(xiàn)的替代方案IAMSE治理標(biāo)準(zhǔn)，其中包括GDPR法規(guī)和Cyber Essentials法規(guī)。在這一點(diǎn)上，如果企業(yè)向政府機(jī)構(gòu)投標(biāo)，Cyber Essentials和Cyber Essentials Plus是必不可少的。

這些控制需要大量的時(shí)間和投資，但它們表明了對(duì)客戶和供應(yīng)鏈的明確和具體的安全承諾，在這樣的環(huán)境中，很容易證明明確和積極的投資回報(bào)率。