如何显示网络安全投资的投资回报率
2020-06-23 14:56:05 【

对于那些从事网络安全工作的人来说,毫无疑问,术语“投资回报率”(ROI)无疑引起了尴尬的交谈。我们使用的解决方案有回报,但通常只有在恶意软件攻击期间或阻止数据泄露之后才能看到这种回报。

像测试降落伞或评估新的安全带一样,进行现场演示以展示解决方案的功能对于任何安全专业人员来说都不是一件容易的事。

直到最近,证明安全投资的ROI仍不是一个重要的问题。头条新闻几乎为我们做了工作。报纸上的文章和有关最新漏洞,勒索软件或软件漏洞的在线报告使我们更容易证明需要增加安全性,以降低我们自己的业务成为未来新闻的风险。但这是在我们进入今天的远程工作新时代之前。

谁参与其中?

董事会成员仍然必须以安全至上的心态为导向,但预算仍在不断审查和收紧。在工作场所变得非常偏远之前确实如此,但现在更是如此,因为我们很快将需要对工作场所进行升级,为确实需要回到办公室的人们提供更好的人身保护。

CISO和CTO制定安全项目决策,定期开会并讨论如何平衡风险和分配预算,而风险通常具有足够的额外权重以获得批准。这正在改变;安全仍然是必不可少的,但是企业现在希望在整个公司的不同级别评估和应用风险。例如,拥有托管产品数据表的面向公众的Web服务器所需的安全性比托管即将发布的产品版本的开发人员代码的服务器所需的安全性低。

CISO和CIO之间的伙伴关系对于确保将正确级别的网络安全应用于业务至关重要。对于CISO而言,这仍然意味着不同的想法。仅显示保护统计信息或可以阻止的网络钓鱼电子邮件的数量还不够。企业领导者不仅想知道安全性如何使他们保持安全,还想知道如何使他们的业务效率更高。

证明在布丁中

安全需要成为可衡量的,以结果为导向的可交付成果,而不仅仅是在防止违规行为发生后得到证明的事情。为了实现这一目标,不仅需要评估安全信息。需要使用来自设备,网络和外部源的数据来将安全交付物改进为能够证明业务价值并因此证明ROI的内容。

幸运的是,在某些方面我们可以集中精力实现对安全性ROI的更通畅的观察。尽管没有完美的解决方案来应对这一挑战,但如果将风险与后果结合起来,则可以更轻松地建立业务对话来支持未来的投资。

开发投资回报率模型需要时间-我的建议是着重于一个简单的安全项目,当证明成功时,该项目将为企业带来高价值。证明有可能显示出回报将有助于团队为更复杂的解决方案开发模型。

通过安全意识展示投资回报率

意识对于任何组织都至关重要,因为这是勒索软件,数据盗窃和其他攻击开始的地方。商业电子邮件妥协(BEC)呈上升趋势,根据某些报告,仅在美国,2019年网络犯罪损失可能造成高达50%的损失

重要的是要注意,安全软件不能总是阻止BEC。这种攻击形式变得越来越聪明,而且针对性更强,这意味着更多的攻击者将成功找到通往用户收件箱的途径。根据JAMA Network Open的2019年报告,平均仍有35%的用户仍会单击网络钓鱼链接。

这些统计数据不言而喻–安全意识培训应该成为任何安全计划的组成部分,并可以减少未来的BEC风险。但是,我们该如何为支出辩护呢?

•运行渗透测试,该渗透测试使用企业电子邮件泄露来针对内部用户,使他们单击可能包含恶意软件的链接。

•对于每1,000个用户,大约35%的用户将单击链接。这看似很高,但是公司用户通常会在工作中受到保护,这会使他们更容易受到攻击。

使用此数据,我们看到该测试成功诱骗了350个用户。如果这是一个真实的广告系列,则这些用户可能会使企业每次点击损失高达75,000美元的损失。每位用户仅需花费几美元,定期进行的在线安全意识培训就非常值得。

培训是一个简单的例子。可以开发简单ROI的其他IT项目包括为端点安全性添加功能,引入加密技术或更好地保护Wi-Fi身份验证。

我的建议是避免每个人都更好地理解安全ROI流程之前,不要进行更复杂的项目,例如防火墙升级。仅提供技术指标或可交付成果,会使安全团队难以清晰地传达业务价值,从而导致项目搁置甚至完全取消。

ROI秘方

简而言之,是的,可以实现。但是,这全都取决于业务风险偏好,并建立了足够的数字来证明其成熟度,可以为将来的投资提供帮助。这是我提高安全性ROI的方法:

•  同意针对安全性明确定义的,基于风险的KPI这些提供了可用于开发项目ROI的数据。

•  了解企业如何应对风险每项新变更都可能带来新的威胁,因此需要明确的信息来平衡风险与创新速度和客户体验之间的平衡。

•  风险是业务的责任,而不仅仅是安全团队确保有针对不同业务负责人的安全KPI,而不仅仅是CISO或CIO。

上面的列表并不详尽,而是一个强大的起点。另一个关键问题是,在整个企业中建立安全性KPI意味着企业领导者都将全力投资于对任何项目做出最佳决策。

虽然建立和了解用于安全性的ROI似乎具有挑战性,但成功之路始于小型且明确定义的项目。不要马上期望100%的准确性-随着更多数据改善模型,随着时间的推移,准确性会随着时间的推移而变化,从而反过来又可以向企业证明安全性ROI。
】【打印关闭】 【返回顶部
上一篇服务器常见CC攻击类型,预防策略! 下一篇基于云的DDoS防御措施