对于 *** 攻击,预防比攻击后修复损失的成本要低得多。然而,许多企业在编制 *** 安全预算时仍存在重大遗漏,这将使企业容易遭受重大财务损失。
每个企业,无论规模有多大,重点是什么,都应该制定合理准确的 *** 安全预算。佐治亚肯尼索州立大学信息安全与保障教授Humayun Zafar评论说:“只有做好预算,我们所有的事情才有现实和现实意义。”
Zafar尽管企业尽更大努力保护系统和资源,但 *** 安全事件仍在迅速增长。他警告说:“预算的增长远远赶不上这些威胁发生的速度,更别说发展了。”因此,企业在投资 *** 安全时必须明智。Zafar说:“不可能保证一切,所以优先级是关键。”
本文介绍了七个关键的 *** 安全预算项目,规划师经常忽视或未能有效解决。
1. 员工 *** 和留任
许多企业忽视了长期趋势,低估了 *** 和保留熟练 *** 安全专业人员的成本。商业咨询公司EY Consulting *** 安全负责人Carolyn Schreiber指出:“在过去的几年里,合格专业人员与成倍增长的工作之间的差距一直在稳步扩大。简单地说,竞争仍然激烈,人才竞争仍在继续。”因此,许多企业发现,在 *** 和留住合格的 *** 安全专业人员时,他们的 *** 预算严重超支。
德勤风险和金融咨询公司的美国 *** 和战略风险负责人Deborah Golden早在疫情之前, *** 安全人才就一直短缺。她敦促说:“如果你的企业能 *** 到熟练的 *** 人才——即使你打算让这些人保持远程工作,你也应该招募他们。”
2. 云开支
SAP国家安全服务公司首席信息安全官Ted Wagner与 *** 安全相关的云支出往往被低估或管理不善。他认为:“一般情况下,云支出不集中,企业的许多部门在没有适当控制的情况下开始在云环境中进行测试或开发。”过度的云服务成本可能会使原本被认为是低成本甚至节省预算的项目演变成严重拖累财务资源的项目。
基于云安全工具际定价,并预测基于云安全工具的各业务部门的额外成本。Wagner警告说:“在大型企业中,这些逐渐增加的成本很快就会积累起来。”
3. 第三方建议和分析
企业往往忽视第三方漏洞测试的预算,聘请顾问向管理者和员工提供潜在 *** 威胁的建议。国际律师事务所Reed Smith的 *** 安全合伙人Sarah Bruno律师建议:“在这方面有更大的预算是件好事,这样你就可以从许多公司得到非常全面的建议。”
企业可能会拒绝支付多项外部深入分析的额外费用,因为它对当前的 *** 安全环境完全有信心,或者因为它每年以固定的预算与同一位安全顾问合作。然而,这种想法通常是短视的。Bruno说:“更好从不同的安全公司获取信息,尤其是更敏感的数据,这有助于发现新的威胁,确保企业有适当的技术、管理和物理保护措施。”
4. 事件响应
*** 安全审计与测试公司Kirkpatrick Price的Joseph Kirkpatrick说,事件响应(IR,Incident Response)通常是被忽视的 *** 安全需求,在预算方面尤其如此。他指出,当一家企业因数据泄露而受害时,精心策划的IR战略可以使企业避免可能的灾难性财务损失。Kirkpatrick建议说:“花时间 *** 和培训一个负责人IR团队会有回报的。”
博思艾伦汉密尔顿(Booz Allen Hamilton)负责 *** 安全战略的副总裁Rudy Bakalov企业认为,尽管存在固有的风险,但企业仍然无法处理IR实际预算费用。他指出:“尽管媒体上有大量企业(大多数都有成熟的安全程序)被打破的例子,但很难想象为什么企业没有制定更好的间接成本计划,如维护/加强IR能力。也许他们认为自己的企业太大或太小,无法成为攻击目标,或者他们在赌博。”
博思艾伦汉密尔顿商业 *** 业务负责人Christopher Smith补充说,未能解决IR等待间接 *** 安全成本的后果不亚于没有充分考虑直接成本,尤其是在IR领域。没有IR服务预算可能导致勒索软件和其他事件被不必要的延迟,导致更大的业务中断、客户损失和声誉损害。”
5. 替换成本
在判断潜在易受攻击资产的替代成本时,许多企业对哪些系统可能受到泄露事件或恶意软件的影响非常短视。他们只是取代最易受攻击的系统。Zafar说:“从成本的角度来看,损失远远超出企业的预期。严重程度将取决于 *** 安全泄漏事件的范围。”
最近,在家工作增加了替代成本负担,使疫情前的估计白费。忽视对脆弱家庭系统的替代或升级将导致灾难。Zafar警告说:“如果家庭系统受到影响,这些系统可能会在企业 *** 中无意中造成漏洞——即使企业最终解决了这些问题。”
6. *** 安全培训
内部有许多最严重的 *** 安全风险。Miller Canfield律师事务所的 *** 安全和数据隐私业务Jacob Koering说:“许多公司承认,员工的行为是风险的主要来源。”他补充道:“然而,这些公司严重缺乏资金,甚至忽视了员工培训和内部威胁。”
Koering一个运行良好的 *** 安全计划可以确保员工意识到他们的 *** 安全义务,并通过内部监控加强这种意识,以确保恶意行为人能够快速发现和捕获。
7. *** 保险
许多企业还没有意识到 *** 保险的必要性——这种疏忽可能会带来可怕的财务后果。北卡罗来纳大学格林斯博罗管理系教授Nir Kshetri他说:“讽刺的是,尽管 *** 威胁在增加,但许多公司并没有为 *** 保险做预算。”他指出:“截至2020年,美国只有不到20%的小企业购买了 *** 保险。”
Kshetri警告说,没有 *** 保险,企业可能无法保护自己免受与 *** 攻击相关的重大损失。除了保护企业免受潜在的毁灭性财务打击外,简单地申请 *** 保险还可以带来更强大的 *** 安全基础设施。“ *** 保险以美元价值表示 *** 风险。因此, *** 保险承保流程可以帮助企业发现 *** 安全漏洞,有机会改进。”