2021-02-07 分類: 網(wǎng)站建設(shè)
每個組織都需要開發(fā)自己的持續(xù)性流程來評估需求并證明安全支出的合理性。以下是兩名首席信息安全官 (CISO) 對此給出的建議。
一個組織究竟應該在網(wǎng)絡(luò)安全方面花費多少?答案很簡單:根據(jù)具體情況而定。
影響組織具體花費的因素有很多,包括公司所從事的業(yè)務類型,其處理的個人或敏感數(shù)據(jù)或知識產(chǎn)權(quán)的類型,其面臨的監(jiān)管要求,其 IT 基礎(chǔ)架構(gòu)的復雜性,其成為惡意行為者攻擊目標的可能性等等。
與 “一個組織應該在網(wǎng)絡(luò)安全方面花費多少” 相比,一個更為重要的問題可能是:“一個組織應該如何確定需要在網(wǎng)絡(luò)安全方面花費多少?” 企業(yè)組織通過開發(fā)持續(xù)性流程來確定適當?shù)陌踩С鏊?,對于有效保護系統(tǒng)和數(shù)據(jù)而言至關(guān)重要。
最近發(fā)布的一些研究報告展示了一些組織在安全方面的支出現(xiàn)狀。CIO 網(wǎng)站于 2018 年 11 月針對全球 683 位 IT 高管進行的一項名為《2019 CIO狀態(tài)調(diào)查》的報告顯示,絕大多數(shù)受訪者表示,IT 安全性支出只占據(jù)其公司IT總預算的 15%;近 1/4(23%)的受訪組織將其 IT 總預算的 20% 或更多用于安全性方面。
調(diào)查還顯示,企業(yè)規(guī)模似乎并不是一個重要的影響因素,因為就安全性占據(jù) IT 總預算的份額而言,小型企業(yè)實際上與大型企業(yè)相差無幾。而就行業(yè)而言,那些將預算的高份額用于安全方面的行業(yè)主要有專業(yè)服務、金融服務和高科技領(lǐng)域。
當被問及 “2019年哪些業(yè)務計劃將在推動其組織的 IT 投資中發(fā)揮最重要的作用” 時,40% 的 IT 主管表示需要增加網(wǎng)絡(luò)安全保護。緊隨其后的業(yè)務計劃還包括提高響應的運營效率,改善客戶體驗,發(fā)展業(yè)務、改變現(xiàn)有業(yè)務流程以及提高盈利能力等等。
除此之外,根據(jù) IDG Communications 對全球 664 名 “以安全為重點” 的專業(yè)人員進行的另一項調(diào)查顯示,近 2/3 (60%) 的企業(yè)組織計劃明年增加其安全預算,且平均增幅為 13%。
決定安全支出優(yōu)先級的因素包括優(yōu)秀實踐 (74%),合規(guī)性授權(quán) (69%),響應組織發(fā)生的安全事件 (35%),董事會授權(quán) (33%),以及響應發(fā)生在另一個組織的安全事件 (29%)。
國際數(shù)據(jù)公司 (IDC) 的網(wǎng)絡(luò)安全產(chǎn)品項目副總裁 Frank Dickson 表示,一般來說,組織應該將其 IT 預算的 7% 到 10% 用于安全方面。但是,如果您的基礎(chǔ)架構(gòu)非常復雜或受保護的資產(chǎn)極具價值,那么您也可以將預算份額提高至 15% 或更多。同樣地,在某些情況下,5% 的預算份額也可能是合適的。
HITRUST(提供風險管理和安全服務的公司)首席信息安全官 Jason Taule 表示,在 HITRUST 公司,安全預算多年來一直保持穩(wěn)定,這反映我們的領(lǐng)導團隊始終致力于認真對待安全和隱私問題,同時保持著一個足夠嚴謹?shù)挠媱?“以解決公司自身面臨的威脅以及合作伙伴和將數(shù)據(jù)托管在 HITRUST 的客戶所面臨的風險敞口?!?/p>
Taule 指出,“安全預算多年來一直保持穩(wěn)定” 的事實可能有些誤導。與大多數(shù)企業(yè)組織一樣,我們?nèi)匀恍枰w更廣泛的威脅和風險敞口,但同時也要實現(xiàn)更高的運營效率。因此,為了保持預算穩(wěn)定,這兩方面需要相互協(xié)調(diào)。簡單來說就是,如果不提高運營效率,支出將逐年增加。
為了幫助確定公司應該在安全方面花費多少,HITRUST 采用了一個控制框架來定義它需要實施的技術(shù)、管理和物理政策、程序以及亮點產(chǎn)品。
Taule 表示,我們還做了有關(guān)于持續(xù)監(jiān)控的事情(這件事也是我們建議客戶做的),并且已經(jīng)實施了一些措施和指標來管理我們的安全計劃。這里涉及到了管理問題,因為任何有關(guān)安全問題的決定都必須要有“反饋”,如此一來,組織才能夠驗證該決定是否實現(xiàn)了預期的效果,或是根據(jù)反饋信息和需求做出適當?shù)恼{(diào)整。
為了確定適當?shù)闹С鏊剑M織需要確定額外支出在降低風險方面所產(chǎn)生的邊際收益(指增加一單位產(chǎn)品的銷售所增加的收益,即最后一單位產(chǎn)品的售出所取得的收益)的程度。這是組織可以展示其盡職調(diào)查的關(guān)鍵點,因為得出的這個程度水平是經(jīng)過精心推理且可辯護的。
很少有組織能夠奢望完全由自己來決定在哪些方面花多少錢,大多數(shù)企業(yè)組織都面臨著各種監(jiān)管要求、客戶期望或是合作伙伴的特殊要求,這些因素都會產(chǎn)生一些額外的支出水平。
在某些情況下,至少在初始階段,企業(yè)可能能夠在其定價中反映出部分費用。但最終,除了最嚴格的要求,其他所有要求都將成為客戶希望企業(yè)付出的商業(yè)成本。
有些組織可能比其他組織更重視安全和隱私問題,甚至可能選擇將其作為與競爭對手區(qū)分的秘訣。因此,他們可能會選擇在安全方面投入更多資金。
在基本層面上,HITRUST 基于常規(guī)、定期和重復性風險評估回答了在安全方面花費多少的問題。如果是風險沒有發(fā)生改變,那么我們就不需要調(diào)整支出。如果我們得出的結(jié)論是,我們面臨的是超出我們接受能力的風險水平,那么我們就需要對支出情況進行調(diào)整。重要的是要強調(diào),在安全方面花費多少的問題沒有一成不變的答案。
科羅拉多州今年在安全方面的支出為 2150 萬美元(約占 IT 總支出的 6%),高于 2018 年的 1270 萬美元(約占 IT 總支出的 4%)。據(jù)科羅拉多州州長辦公室首席信息安全官 Deborah Blyth 稱,這是該州政府有史以來很大的安全預算增長。
1. 創(chuàng)建一個框架來衡量安全成熟度
一般來說,很難確定投入多少錢是足夠的,以及適當?shù)闹С鏊綉撌嵌嗌???屏_拉多州采用了一個框架——20 大安全控制(20 Critical Security Controls),并根據(jù)該框架衡量安全成熟度。
然后,這種持續(xù)的成熟度評估被用于證明需要額外的資金,來實施額外的控制措施和子控制措施。如果資金阻礙我們?nèi)鎸嵤┻@些子控制措施,我們可能會將其添加到預算請求中。諸如不斷變化的機構(gòu)需求和當前面臨的威脅等因素也在我們的預算請求中。
2. 鑒于當前的威脅證實支出需求
例如,科羅拉多州交通部在 2018 年 2 月經(jīng)歷的安全事故嚴重影響了今年的預算請求。缺乏足夠的資金推遲了必要的安全改進的實施,這些改進可以防止或減輕安全事件的影響,盡管這些努力已經(jīng)進行了好多年。目前,科羅拉多州已經(jīng)成功構(gòu)建了業(yè)務案例并提高了其資金水平,以便在今年完成已確定的安全改進方案。
3. 將支出與同行組織進行比較
科羅拉多州還使用了國家首席信息官協(xié)會 (NASCIO) 每隔一年發(fā)布的一項研究,以了解其安全投資與其他州的比較情況。這項研究表明,各州投入了 6%-10% 的 IT 預算用于安全方面。
當前文章:組織應該在網(wǎng)絡(luò)安全方面投入多少錢?
文章網(wǎng)址:http://jinyejixie.com/news2/99602.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供手機網(wǎng)站建設(shè)、響應式網(wǎng)站、自適應網(wǎng)站、網(wǎng)站導航、App開發(fā)、建站公司
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容