文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

警惕企业网络安全的七大“成本陷阱”

2024-11-30 05:07

关注

与预算紧缩和人员短缺作斗争,已经成为当下CISO面临的主要挑战。而充分认识和规避网络安全支出中的“成本陷阱”,是CISO应对该挑战最有效的方法。

网络安全投资往往暗藏成本陷阱,这些陷阱一开始可能并不明显,但会随着时间的推移悄悄消耗网络安全部门的宝贵预算。本文,我们将揭示七个网络安全成本陷阱,即便是经验丰富的CISO也未必能完全躲过这些陷阱:

网络安全产品收费结构复杂

第三方附加成本

内部运营成本

功能和功能冗余

无效支出

供应商锁定

预算分配争议导致的“意外成本”

CISO应该时刻警惕上述成本陷阱,通过有效的策略和计划,确保安全投资的合理性和效益。

以下,我们详细介绍如何避免掉入网络安全的“成本陷阱”:

1.留神安全产品服务计费结构的“套路”

许多CISO迷失在错综复杂的网络安全产品计费结构中。“现在许多产品都有非常复杂的计费结构,而基础版本的解决方案可能看起来相对有吸引力,但更高级的功能,通常是CISO所需的功能,一般会额外收费”欧洲联盟网络安全局(ENISA)顾问组成员Brain Honan指出。

这在安全信息和事件管理(SIEM)或安全运营中心(SOC)解决方案中相当常见,其中工具或平台的初始购买相对较便宜,但随着存储的数据量、跟踪的事件、分析的流量或监视的终端数量的增加,相关价格可能会大幅上升。

信息安全论坛(ISF)的杰出分析师Paul Watts指出,安全产品和服务的额外费用也可能包括许可、维护和支持成本,此外CISO承担了很多本应由CTO/CIO承担的成本:"我听说过CISO负责更多的安全功能,如SOC和基础设施,发现他们承担了本应由CIO/CTO承担的支持和维护成本,特别是如果预算线相当紧密地结合在一起。"

2.仔细审查第三方成本

在决定购买任何网络安全服务或与第三方合作之前,CISO应询问并仔细评估相关的所有潜在额外成本。“这是为了优化供应商谈判策略,为产品和服务争取最低的合理价格,”Grand Canyon Education的CISO Mike Manrod说。特别是当购买新产品,建立全新的合作关系,或涉及知识产权而非实物产品的成本场景时,通常有很大的谈判空间。

“关于服务,最重要的窍门是坚持要求厂商为每个新产品的实施都提供充分的专业服务,让企业安全团队中最优秀的人员亲自操作,由厂商的专业服务工程师远程指导。” Manrod说:“如果你选择了正确的内部人员,他们将成为专家,然后让他们培训一个备份人员,并创建文档和持续知识传递的文化。过去的6年中,这种方法为我们节省了很多钱。”

Manrod表示,另一个考虑因素可以帮助谈判更合理的新安全产品价格。“例如,当一些远程浏览器隔离供应商报价过高时,我会告诉供应商这个报价足够我们自行开发一个功能类似的开源项目。“

3.内部运营成本不可忽视

安全产品和服务复杂的成本结构只是网络安全隐性成本的一部分。另一件需要考虑的事情是有效运行安全产品的内部成本,这一点经常被忽视。以SIEM为例,CREST英国理事会成员Dave Allan指出,SIEM显然是一个有效的安全工具,但出于合规目的,企业需要管理和保留大量数据,这意味着需要投入大量的存储资源和时间。“考虑员工培训、维护、添加用户和处理误报等因素也很重要——所有这些因素可能不会包含在初始成本分析中。”Allan说道。

渗透测试服务和开源解决方案也是如此。在使用渗透测试服务时,企业还必须考虑内部所需的时间和资源、任何潜在停机对业务造成的成本、分析报告所需的时间以及实施所需安全措施的成本。

开源解决方案虽然经常被看作是商业安全工具的经济高效替代品,但也不一定能为网络安全团队节省成本。“实施、管理、集成和支持解决方案会产生持续成本,例如招聘相关专业人才或聘请外部专家时产生意想不到的成本。”

4.砍掉预算中的重叠服务和重复功能

重复功能和重叠服务是另一种常见的网络安全预算超支原因。云服务提供商Nasstar的首席信息安全官Nick Trueman表示:“为重复的安全功能付费往往导致预算紧张。还可能导致集成方面的问题,协调和集成提供类似功能的多个厂商的产品会导致复杂性和互操作性问题。”

CISO应进行全面审查当前所有安全提供商提供的服务。“评估其有效性以及是否符合业务的安全要求,如果发现重复功能,请考虑将服务整合到单个提供商下或与提供商协商以消除冗余。

5.不要把预算浪费在无效安全服务和产品上

CISO往往会为无法带来预期收益的冗余或无效工具付费,从而严重影响安全预算和覆盖计划。Qualys首席技术安全官Paul Baird表示,CISO经常会遇到这样的情况:他们投资的安全工具或技术无法兑现最初的承诺,或提供预期价值及投资回报(ROI)。

发生这种情况的原因有多种,包括与现有系统集成不足、用户采用率不高或工具无法有效满足企业的特定安全需求。此类投资可能会导致安全预算紧张,并占用更有效的安全措施的资源,最终损害企业的整体网络安全态势。

在购买新产品之前确定现有解决方案是否可用。

ReliaQuest首席信息安全官Rick Holland表示,CISO有过度采购的历史,他们更新工具并购买新工具,而不验证用例或检查现有解决方案是否已经能满足需求。这导致工具蔓延和大量冗余且可能不必要的安全控制,从而使安全运营变得复杂。企业需要协调所有安全投资,以确保与企业的威胁模型相关并最大限度地降低风险。

例如,如果企业所处的行业不属于网站可用性对于创收至关重要的垂直行业,是否仍然有必要续订基于云的分布式拒绝服务(DDoS)缓解服务?

根据Honan在组织中审查安全工具的经验,企业往往会为同一个功能购买两到三个产品,仅仅是因为企业不知道他们购买的原始产品中已经提供了所需的所有功能。例如,许多现代操作系统都有内置的安全功能,例如磁盘加密,如果实施这些功能,可以消除对第三方解决方案的要求。

降低此类成本的关键是招聘一名产品工程师来审查安全配置并正确实施解决方案,这可以帮助CISO省去购买新工具以及与集成和管理该工具的相关成本。

6.“供应商锁定”可造成永久性的成本陷阱

一些CISO可能会陷入的另一个成本陷阱是供应商锁定。为了使解决方案有效发挥作用而投入的金钱、时间和资源最终可能会大大高于最初的预期。这导致很多CISO不愿意迁移到替代产品或平台,因为他们可能觉得这样做投资会损失,或者迁移成本过高。

Honan 表示:“当安全功能或流程外包给第三方或云服务时,情况尤其如此,即便成本不断升高,企业仍然不愿意迁移到成本效益更好的解决方案。”

7.避免预算分配争议导致的“意外成本”

安全投资与企业战略和业务优先级不一致可能导致CISO无法获得足够的预算实施有效的长期战略,而当企业高管和各部门主管的战略目标和观点与CISO的网络安全优先事项不一致时,通常会导致“意外成本”。

“当出现这种不一致时,可能会导致预算分配方面的争议,”Baird指出:“CISO在与其他部门竞争预算时需要证明其预算请求的合理性,而CISO的任何妥协可能会导致企业安全需求无法得到充分满足,从而导致企业在响应安全事件或数据泄露时的意外支出。”

“企业可能会被动地分配资源来解决眼前的威胁,这通常会在未来产生意外成本。这种被动投入的方法可能会导致安全预算紧张,无法提供全面且更具成本效益的长期安全策略。”

Manrod表示,有时企业和安全领导者在这方面都是短视的,在一个季度内采取最简单的安全措施,这可能在一年内产生中性结果,但在五年内可能会产生灾难性结果。“真正解决这个问题需要做长远规划。”

因此,CISO需要将其安全优先级与企业的战略目标保持一致,并定期评估安全投资的绩效,以确保资源得到有效分配,并且安全覆盖计划有效且具有成本效益。

当然,最重要的是,CISO需要在企业中有足够长的任期,并得到其他高管的认同和支持。

来源:GoUpSec内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯