也許每個人出生的時候都以為這世界都是為他一個人而存在的,當他發現自己錯的時候,他便開始長大
少走了彎路,也就錯過了風景,無論如何,感謝經曆
更多關于Android安全的知識,可前往:
https://blog.csdn.net/ananasorangey/category11955914.html
本篇文章轉載:
https://www.4hou.com/index.php/posts/O9pB
導語:大多數企業都非常清楚在組織的年度預算中增加網絡安全的必要性。
大多數企業都非常清楚在組織的年度預算中增加網絡安全的必要性。但是,首席資訊安全官如何配置設定和證明預算從來都不是那麼簡單。
與市場營銷、銷售、工程和支援——ROI 可以更容易地解釋——不同的是,網絡安全的 ROI 的數學并不簡單。然而,随着資料洩露的成本和發生率每時每刻都在增加,確定預算并確定其得到适當使用對于當今的CISO來說比以往任何時候都更加重要。
建立網絡安全預算細目
企業在網絡安全上花費的金額相對于其總預算的比例因行業群組織而異。是以,很難規定 CISO 應要求的數量或百分比。
但是,所有組織在配置設定網絡安全預算時通常應考慮五個主要類别:
1、遵守。某些合規性法規規定了安全預算配置設定。例如,在醫療保健領域,HIPAA定義了資料隐私和安全要求,以保護個人的醫療記錄和其他個人健康資訊。為了滿足這些要求并避免潛在的巨額罰款,首席資訊安全官必須将預算花在特定的工具和技術上。在 HIPAA 示例中,這包括資料分類、加密和生命周期管理。
2、正在進行的現有風險評估。積極主動的 CISO 必須持續監控其環境中安全控制的有效性,并針對流行的攻擊媒介進行校準。如果風險超過先前商定的門檻值,首席資訊安全官将需要評估威脅并與管理層讨論風險以尋求進一步的預算或重新配置設定預算 - 或同意接受更高的風險水準。此類預算的工具和服務包括網絡保險、滲透測試、漏洞獎勵計劃和事件響應。
3、持續的安全教育訓練。安全教育訓練不再是年度強制性合規檢查清單上的一項活動。必須讓每一位員工和承包商都參與其中,使之成為一項持續的努力。利用公開羞辱或恐懼來激勵員工是無效的。相反,網絡安全教育訓練需要令人難忘甚至有趣。有遠見的 CISO 與他們的業務線同行合作,使這成為一項無摩擦但有影響力的工作。
4、新的商業舉措。必須對 CISO 公司采用的任何類型的新業務計劃進行評估,并為其應用安全預算(如果适用),以確定公司及其新客戶保持安全。例如,營銷部門可能會将内容建立外包給海外的第三方提供商,或者客戶支援可能決定将所有客戶支援案例存儲在雲存儲平台中。這兩種情況都會帶來額外的風險,CISO 和安全團隊必須在實施之前解決這些風險。
5、業務優先級轉移。這可能與人、技術或貨币化有關。從人員的角度來看,業務優先級轉變的一個例子是混合模式,或者在某些情況下,永久在家工作模式以及保持網絡安全最佳實踐所需的持續調整。從員工入職和離職到員工使用共享家庭路由器、本地離線資料存儲、個人裝置和視訊會議中的家庭隐私需求,都需要進行安全調整和預算重新配置設定。技術轉變的例子包括從單一供應商或外包工程遷移到雲或混合;每個班次都需要重新評估和重新配置設定預算。
每個類别配置設定多少取決于多種因素。例如,新的合規規則可能會增加當年該類别的支出。一個例子是由 CCPA 推動的資料隐私成本上升,該法案于 2020 年 1 月 1 日生效,并于 2020 年 7 月 1 日生效。此外,新投資者或新 CEO 可能會改變公司的風險偏好,導緻組織在安全方面的支出相應增加或減少,進而導緻 CISO 配置設定給各個安全類别的金額相應增加或減少。
6 個網絡安全預算最佳實踐
了解目前需求并規劃未來需求是更有效地管理資訊安全預算的關鍵。以下六個步驟應該讓 CISO 能夠很好地處理預算配置設定和理由:
1、了解目前如何配置設定預算。建立現有産品和服務的完整清單,以及每個産品和服務的每日、每月和每年支出。在雲和基于訂閱的模型出現之前,這是一個更直接的練習。如今,随着按需采購和調試,這項任務需要付出更多的努力。這需要定期進行——而不是在供應商希望您在續約截止日期迫在眉睫的情況下簽署合同的年度續約活動中。
2、監控,監控,監控。在進行完整的清點後,制定程式以持續監控工具和網絡安全服務的有效性,以及微調、重新配置甚至在需要時關閉它們的流程。請注意,産品價值和更新不能僅基于活動或缺乏活動。網絡釣魚防護等産品例如,工具可能每天都經過實戰測試,是以它們的需求顯然是合理的,而其他産品,如 DDoS 或勒索軟體攻擊防禦系統,可能幾個月都不會使用,如果有的話。然而,不要僅僅根據活動做出決定,而是檢視行業統計資料和競争對手,這些資料和競争對手已成為幫助确定産品或服務是否值得關閉的目标。這一步也是評估更新和更具成本效益的産品或服務的機會——當沒有活動時,換出的風險可能較小。
3、成為講故事的人、倡導者和知己。當跨業務和職能部門的同僚尋求提高效率、增加收入和參與度時,CISO 可以成為寶貴的資源。例如,首席資訊安全官可以針對特定部門目前使用的産品和服務運作完整的風險報告,并以此作為激勵,讓他們的同僚不僅了解潛在的網絡攻擊對這些産品或服務的影響,而且還向他們展示如何減少這些潛在的風險影響。該練習還為 CISO 及其同僚提供了一種更具成本效益和前瞻性的方法。
4、為意外做好準備。意外事件可能導緻預算擴大或縮小。例如,Log4j 漏洞突然擴大了 CISO 的職責範圍,涵蓋了整個組織使用的庫及其對安全的影響。此類事件可能導緻網絡安全預算增加。相反,當組織範圍内的預算減少時,如果 CISO 沒有積極倡導如何以及為何花費預算,他們很快就會成為目标。
5、管理薪資影響。在炙手可熱的網絡安全工作市場中,很難找到合格的專業人員——請參閱以下步驟以了解解決此問題的一種方法——可能會傾向于支付高薪來吸引人才。但是,當需要減少員勞工數時,這可能會産生直接的負面影響。當需要實作營運支出減少目标并且需要減少員勞工數時,大多數公司都希望将受影響的人數保持在最低限度。而且,如果專注于少數高薪網絡安全人員可以影響更少的人,那麼您的團隊就會成為明顯的目标。
6、尋找和培養人才。以合理的成本招聘和留住人才的一種可證明的方法是投資于可能渴望加入勞動力但可能沒有必要機會的社群。例如,榮民社群、當地社群大學、職業轉換者等。投資于這些群體需要時間、預算和努力,但回報可能是有意義且持久的。
網絡安全預算會增加還是減少?
· 網絡安全預算會增加、減少還是保持不變?- 當然是:這取決于. 可能對預算産生影響的一些觸發因素包括:
大流行的影響。COVID-19 大流行的最大影響之一是某些組織的永久遠端工作,或者更具挑戰性的不斷變化的混合模式。另一個趨勢是大辭職,以及持續的經濟動蕩,随之而來的是心懷不滿的員工不斷面臨的安全問題挑戰。這些挑戰通常會導緻安全預算增加,因為它們可能造成的聲譽和财務損失是巨大的。
· 自動化取代或增強人類。與感覺到的人才短缺相吻合的是,我們收集、挖掘和建立有效的基于人工智能的預測模型的能力不斷提高。但它首先要收集資料以使模型有效。例如,威脅搜尋和漏洞賞金計劃的成本很高,而且回報是不可預測的。基于人工智能的模型可以經久耐用,并且随着其突出和補救問題的有效性得到證明,預算可以逐漸增加。
· CISO 繼續成為有效的故事講述者并提供背景資訊。在戰略性和深思熟慮的情況下成功獲得預算增長的 CISO 善于根據閱聽人調整他們的安全叙述。例如,在向代表不同行業的多元化董事會展示時,為每個成員提供與他們的行業血統相關的故事情節并融入他們可能涉及的業務問題可能是有效的。這樣一來,當存在需要解釋的違規行為或需要網絡安全投資的新舉措時,您就可以為更富有成效的對話鋪平道路。
· 經濟衰退。這種新的現實可能會對任何安全預算産生直接且相當大的負面影響。為經濟衰退做準備,并在需要時優先考慮削減哪些内容,這比在脅迫下削減成本要準備得更充分。
簡而言之,當今世界有無數因素會對網絡安全預算産生影響。了解并為變數做好準備——從新的網絡威脅和經濟動蕩到技術突破——確定為企業和您的網絡安全組織帶來更好的結果。