日前发布的2021年网络安全威胁报告指出,在后疫情时代,网络攻击仍在不断增加,与2020年相比增加了17%。勒索软件仍然是网络攻击者经常使用的恶意软件。随着2021年平均赎金支付价值增长了82%,可以理解数据泄露问题推动安全支出的原因。企业必须能够向他们的客户和合作伙伴证明他们已经采取了明确而强大的安全措施。
但是,为数据泄露进行投资可能是一项挑战,这使得证明安全支出的投资回报率变得困难。
改变态度:考虑衡量积极的业务成果
根据数据泄露的潜在成本分配安全预算侧重于负面后果,并不总是有助于建立有效的安全投资业务案例。
与其相反,企业应该关注安全投资如何展示积极的业务回报,例如这些安全支出的关键催化剂:
- 竞争优势
- 最佳实践和客户保证
- 合规性
- 外部审计
- 供应链、投标或采购流程的合同义务
因此,确定了安全性为业务带来积极成果的五个关键领域。但它们能否帮助企业最大限度地提高安全预算并展示投资回报率?以下进行讨论。
竞争优势:不再是安全支出的商业案例
将时光回溯到2011年,流媒体供应商Netflix公司当时仍在向用户出租出售DVD光盘,很少有员工在家远程工作,而那时企业仍然在1995年数据保护指令下运营。当时加强数据安全性很可能会提供竞争优势。
然而,对于当今的大多数行业而言,情况并非如此,因为强大的数据安全性已经成为必备的功能。良好的安全实践是一项要求,因此竞争优势不能再作为安全支出的有效业务案例来呈现。
最佳实践:量化的挑战
可以引用最佳实践作为在企业安全预算中提供投资回报率(ROI)吗?遵循最佳实践的企业肯定能够保护他们的知识产权和关键数据资产。此外,他们将显著降低业务连续性中断的风险。
但是对于某些企业来说,准确量化“最佳实践”对其业务的意义可能是一项艰巨且耗时的挑战。而采用最佳实践策略可能需要大量投资,因此其成本高昂。此外,最佳实践战略通常与业务战略以及监管和合规要求保持一致。
虽然最佳实践数据安全策略会向客户和合作伙伴发出积极的信息,但它为证明企业的安全预算中的特定投资回报率(ROI)提供了一个案例。
合规性:业务成本
尽管合规性是安全投资的驱动因素,但它通常被视为企业开展业务的一种成本——如果不遵守监管要求,企业的业务就会处在风险之中。
GDPR法规是跨行业的法规,而有些法规是针对特定行业的,例如英国金融行为监管局(FCA) 法规、国际武器贸易法规(ITAR)和美国健康保险流通与责任法案(HIPAA)。此类法规的合规性可能并不适合IT安全技能组合,在这些技能组合中,这些法规通常被认为是提高安全性的理由。
实现合规性可能需要大量投资,这些投资不仅在技术方面,而且在专业的人员和流程方面。例如,企业必须遵守有关运营和技术要求才能符合支付卡行业数据安全标准(PCIDSS)的要求。
因此,合规性通常属于业务成本,因此在尝试证明安全性预算中的投资回报率(ROI)时没有必要引用。
外部审计:推动安全支出增长
那么外部审计能否在安全预算中展示投资回报率?其回答是不能。在大多数情况下,外部审计是作为对法律法规或企业的团体要求的反应,这些要求将它们分配给一般业务责任。企业需要对审计的输出、结论和建议做出反应。任何差距都需要额外或重新分配预算,这使其成为一项业务责任。因此,虽然外部审计可能会推动安全支出增长,但它们并不能真正帮助显示安全支出的投资回报率。
合同义务:明确规定安全要求
当涉及到企业的供应链中的合同义务或投标和采购流程时,将明确规定保护企业的数据或网络所需的安全性。
虽然很多企业会根据其风险策略采用不同的方法,但都应该期待共同的安全控制措施。例如,这些可能包括年度渗透测试、网络钓鱼评估、定期防火墙审计以及安全信息和事件管理(SIEM)或安全运营中心(SOC),以监控安全事件并快速响应。
这些具体而明确的合同义务使得在安全预算中展示投资回报率变得容易。对于大多数企业来说,可以在三个关键领域找到投资回报率:
- 维护现有的服务协议
- 简化新客户的入职流程
- 持续向客户保证他们遵守合同义务。
与客户或供应商合作时通常需要的安全控制包括安全认证和信息安全框架,如ISO 27001或其更经济、更可实现的替代方案IAMSE治理标准,其中包括GDPR法规和Cyber Essentials法规。在这一点上,如果企业向政府机构投标,Cyber Essentials和Cyber Essentials Plus是必不可少的。
这些控制需要大量的时间和投资,但它们表明了对客户和供应链的明确和具体的安全承诺,在这样的环境中,很容易证明明确和积极的投资回报率。