展示安全投入的投资回报率(ROI)往往很困难。通常,人们引用数据泄露的成本来证明在技术、人员或服务上的支出合理性,然而,这并不总能为预算提供最好的商业理由,CISM和CIPP/E认证专家Andy Collins指出。
在日益严峻且多样化的网络安全威胁面前,确保每一分钱的安全预算都得到有效利用至关重要。比如,SonicWall发布的《2024年年中网络威胁报告》显示,仅在去年,恶意软件攻击达到了55亿次,勒索软件攻击为4.933亿次,入侵尝试高达6.3万亿次,而根据Sophos的数据,勒索软件的赎金要求创下新高,平均赎金已上升至200万美元,其中30%的赎金要求超过500万美元。
虽然明确且强有力的安全措施显示出企业对客户和供应商的承诺,但如何合理分配安全预算以获得最佳投资回报并不简单。为安全支出带来的好处赋予一个明确的货币价值并不容易,且因为资金通常作为预防措施进行分配,精准衡量其成就充满挑战。
事实上,问题的一部分在于企业往往聚焦于安全支出的负面结果。例如,很多公司会通过计算数据泄露的成本来证明在技术、人员或服务上的支出是合理的。尽管这种做法在一定程度上可以理解,但专注于“我们需要花多少钱来防止问题发生”并不总是有助于构建有效的安全投资商业理由。
有效的安全投资
相反,企业应当关注如何通过有效的投资展示出以业务为导向的正面回报。例如,展示最佳实践是否能够提供客户所期望的保障和信心?这一点是否在他们的采购清单中名列前茅?
在某些行业中,安全是核心决策标准之一,特别是在合规和监管起着重要作用的领域,可能还需要通过外部审计,或者供应链/投标采购流程可能依赖于明显强大的安全策略。
在这些情况下,展示安全投资回报率不仅仅是为了在问题发生时减轻损失和破坏,更重要的是,它提高了标准,表现得比竞争对手更出色——这可以带来更为显著的财务回报。
毫无疑问,采用最佳网络安全实践的企业也能更好地保护关键资产,如知识产权,同时,这还能降低对日常业务活动的干扰风险,保护关键信息数据。
风险与回报
虽然最佳实践的效果可能难以量化,但通常它们与业务战略、监管或合规要求保持一致。通过投资,这也向合作伙伴和客户传递了一个明确的信号:公司对提供有效的网络安全有着深刻且长期的承诺。
某些特定行业的网络安全法规要求无论在哪个领域都要确保数据隐私,而其他法规则专注于特定行业垂直领域,如《萨班斯-奥克斯利法案》(SOX)、《国际武器贸易条例》(ITAR)和《健康保险可携性和责任法案》(HIPAA)。一个关键挑战在于,监管框架往往存在解释空间,这意味着企业需要摸索如何合规。
同样,尽管像PCI-DSS这样的合规标准推动了重要安全实践的采用,例如持续渗透测试、钓鱼演习、采用SIEM(安全信息和事件管理系统)和网络弹性,但一些人仍将其视为一项巨大的投资。
接受外部审计的企业通常需要对审计结果、结论和建议作出反应。在大多数情况下,审计反映的是监管要求或企业集团的需求。审计中发现的差距可能需要额外的预算或重新分配预算,对于那些未规划此类支出的企业来说,这将带来压力。
履行义务
当合同义务要求达到某些安全目标或标准,或者这些目标或标准是采购流程的一部分时,企业会根据其风险偏好设计相应的方案。
然而,履行合同义务是安全能够展示切实ROI的一个情境。无论是维持现有的服务协议、持续向客户提供履行义务的保证,还是更具体的事项,如简化新客户的入职流程,强大的安全策略对业务的影响都可能是巨大的。
专注于这些优先事项可以显著帮助企业展示其绩效和承诺,并为ROI做出贡献。虽然确定和监控典型安全预算的投资回报确实充满挑战,但这是构建有效战略的重要部分,该战略能够以现有的投资提供尽可能强的保护。