這7項網絡安全成本最容易被忽視,千萬別給你的企業埋雷
對于網絡攻擊,防患于未然總比攻擊發生后修復損失的成本低得多。盡管如此,很多企業在編制網絡安全預算時仍存在重大遺漏,會使企業很容易遭受重大財務損失。
每一家企業,無論規模多大,關注的重點是什么,都應制定合理、準確的網絡安全預算。佐治亞州肯尼索州立大學信息安全與保障學教授Humayun Zafar評論說:“只有做好預算,我們所有的一切才具有現實和實際意義。”
Zafar指出,盡管企業盡最大努力去保護系統和資源,但網絡安全事件仍在快速增長。他警告說:“預算的增長遠遠趕不上這些威脅發生的速度,更別說發展了。”因此,企業在投資網絡安全時必須要明智。Zafar說:“不可能一切都得到保障,所以優先次序是關鍵。”
本文介紹了規劃人員經常忽視或者未能切實解決的7個關鍵網絡安全預算項目。
1. 員工招聘和留任
很多企業無視長期趨勢,一直低估招聘和保留熟練的網絡安全專業人員的成本。商業咨詢公司EY Consulting的網絡安全負責人Carolyn Schreiber指出:“在過去幾年里,合格的專業人士與成倍增長的工作崗位之間的差距一直在穩步擴大。簡單地說,競爭依然激烈,人才爭奪戰仍在繼續。”結果,很多企業發現,在招聘和留住合格的網絡安全專業人員時,他們的招聘預算嚴重超支了。
商業咨詢公司德勤風險與金融咨詢公司的美國網絡和戰略風險負責人Deborah Golden指出,早在疫情之前,網絡安全人才就一直短缺。她敦促說:“如果你的企業能夠招聘到有技能的網絡人才——即便打算讓這些人一直保持遠程工作狀態,也要把他們招進來。”
2. 云開支
SAP國家安全服務公司首席信息安全官Ted Wagner表示,與網絡安全相關的云支出往往被低估或者管理不善。他認為:“通常情況下,云支出并不是集中的,一家企業中的很多部門在沒有適當控制的情況下就開始在云環境中進行測試或者開發。”在云服務上的過度花費可能會使原本被認為是成本低廉、甚至可能節省預算的項目演變成嚴重拖累財務資源的項目。
云預算應反映實際的定價,同時預測出各個業務部門試用和測試基于云安全工具的額外成本。Wagner警告說:“在一家大型企業中,這些逐漸增加的成本會很快累積起來。”
3. 第三方建議和分析
企業往往忽視了第三方漏洞測試的預算,以及聘請顧問就潛在網絡威脅向管理者和員工提供建議的預算。國際律師事務所Reed Smith的網絡安全合伙人Sarah Bruno律師建議:“在這方面有較大的預算是件好事,這樣就可以從多家公司那里獲得非常全面的建議。”
一家企業可能會拒絕為多項外部深度分析支付額外費用,因為它對其當前的網絡安全環境完全有信心,或者因為它每年以固定的預算與同一位安全顧問合作。然而,這種想法通常是短視的。Bruno說:“最好是從不同的安全公司獲得信息,特別是對于更敏感的數據,這有助于發現新的威脅,并確保企業有適當的技術、管理和物理保護措施到位。”
4. 事件響應
網絡安全審計和測試公司Kirkpatrick Price的Joseph Kirkpatrick說,事件響應(IR,Incident Response)通常是被忽視的網絡安全需求,在預算方面尤其如此。他指出,當一家企業因數據泄露而受害時,精心策劃的IR策略可以使企業免于可能出現的災難性財務損失。Kirkpatrick建議說:“花時間招聘并培訓一個負責IR的團隊是會有回報的。”
管理公司博思艾倫漢密爾頓(Booz Allen Hamilton)負責網絡安全戰略的副總裁Rudy Bakalov認為,盡管存在固有的風險,但企業仍然無法對IR費用進行比較實際的預算。他指出:“盡管媒體上有大量企業(大都有成熟的安全程序)被攻破的例子,仍然很難想象為什么企業沒有為間接成本制訂更好的計劃,比如保持/加強IR能力。也許他們認為自己的企業太大或者太小,不可能成為攻擊目標,或者他們在賭這種事不會發生在自己身上。”
博思艾倫漢密爾頓公司商業網絡業務的負責人Christopher Smith補充說,未能解決IR等間接網絡安全成本的后果,并不亞于沒有充分考慮直接成本,尤其是在IR領域。沒有IR服務預算,可能導致勒索軟件等事件被不必要的拖延,從而造成更大的業務中斷、客戶流失和聲譽受損。”
5. 替換成本
在判斷潛在易受攻擊資產的替換成本時,對于哪些系統可能會受到泄露事件或者惡意軟件的影響,很多企業的觀點是非常短視的,他們僅僅是替換最易受攻擊的系統。Zafar說:“從成本的角度來看,這導致的損失遠遠超過了一家企業的任何預期。嚴重程度將取決于網絡安全泄露事件涉及的范圍。”
最近轉向在家工作增加了替換成本負擔,使得疫情前的估計付諸東流。忽視對脆弱的家庭系統的替換或者升級會招致災難。Zafar警告說:“如果家庭系統受到影響,這些系統可能會無意中在企業網絡中重新造成漏洞——即使企業最終已經解決了這些問題。”
6. 網絡安全培訓
很多最嚴重的網絡安全風險源自內部。Miller Canfield律師事務所網絡安全和數據隱私業務的律師Jacob Koering說:“很多公司都承認員工的行為是風險的主要來源。”他補充道:“然而,這些公司嚴重缺乏資金,甚至忽視了員工培訓和內部威脅需求。”
Koering說,一項運行良好的網絡安全計劃可以確保員工意識到他們的網絡安全義務,并通過內部監控加強這種意識,以確保惡意行為人能被迅速發現并抓獲。
7. 網絡保險
很多企業還沒有意識到網絡保險的必要性——這方面的疏忽可能帶來可怕的財務后果。北卡羅來納大學格林斯博羅分校管理系教授Nir Kshetri經常就安全和加密貨幣問題撰寫文章,發表評論,他說:“具有諷刺意味的是,盡管網絡威脅在不斷增加,很多公司卻沒有為網絡保險做預算。”他指出:“截至2020年,美國只有不到20%的小企業購買了網絡保險。”
Kshetri警告說,沒有網絡保險,企業可能無法保護自己免受與網絡攻擊相關的重大損失。除了保護企業免受潛在的毀滅性財務打擊外,簡單地申請網絡保險就能帶來更強大的網絡安全基礎設施。他說:“網絡保險以美元價值表示網絡風險。因此,網絡保險承保流程可以幫助企業發現網絡安全漏洞,有機會進行改進。”
