7項容易忽視網絡安全預算加重了企業營運成本

您的企業網絡安全預算能覆寫所有的關鍵内容嗎?下面我們來看看預算規劃者經常最小化或忽略的7項開支。

預防網絡攻擊的成本幾乎總是比在網絡攻擊發生後修複損失的費用要低。盡管如此，許多企業在編制網絡安全預算時仍會遺漏一些關鍵内容，這可能會使企業遭受重大的财務損失。

每個組織，無論其規模大小或重點如何，都應該制定一個合理、準确的網絡安全預算。喬治亞州肯尼索州立大學資訊安全與保障教授胡馬雍•紮法（Humayun Zafar）說:“預算為幾乎所有事情都帶來了實用性。”

Zafar指出，盡管企業為保護系統和資源竭盡全力，但網絡安全威脅事件仍在不斷發生并迅速增長。他警告說:“預算的增長速度不能與這些威脅的發生速度相提并論。是以，組織必須對網絡安全進行明智的投資。在不能確定所有内容的安全時，确定預算的優先級至關重要。”

這裡有七個關鍵的網絡安全預算項目，規劃者經常忽視或未能實際解決。

1.招聘和留住員工

許多組織無視長期趨勢，低估了雇傭和保留熟練網絡安全專業人員的成本。商業咨詢公司EY Consulting的網絡安全負責人卡羅琳•施賴伯(Carolyn Schreiber)表示:“在過去幾年裡，合格的專業人士與成倍增長的工作崗位之間的差距一直在擴大。競争依然激烈，人才大戰仍在繼續。”是以，許多組織發現他們在努力招聘和留住合格的網絡安全專家時，自己的招聘預算會超支。

商業咨詢公司德勤風險與财務咨詢公司的美國網絡與戰略風險主管黛博拉•戈爾登（Deborah Golden）指出，早在2019冠狀病毒大流行之前，網絡安全人才就一直短缺。“如果你的組織能夠招聘到有技術的網絡人才——即使你打算永遠遠端聘用這些人才——果斷去做吧，”她敦促道。

2.雲支出

SAP國家安全服務(National Security Services，NS2)的首席資訊官Ted Wagner說，與網絡安全相關的雲開銷經常被低估或者管理不善。他指出：“通常，雲計算的花費不是集中的，組織中的許多部門在沒有适當控制的情況下就開始在雲環境中進行測試或開發。”在雲服務上的過度花費可能會使原本被認為是廉價的、甚至是節約預算的項目變成嚴重的财務負擔。

雲預算應反映實際定價，同時預計各個業務部門試用和測試時基于雲的安全工具的額外費用。Wagner警告稱："在大型組織中，這些增量可以使成本迅速增加。

3.第三方建議和分析

企業經常忽視對第三方漏洞測試的預算，以及顧問對管理人員和員工提出潛在網絡威脅建議的預算。國際律師事務所Reed Smith的網絡安全合夥人莎拉•布魯諾(Sarah Bruno)律師表示:“在這裡，增加預算是件好事，這樣你就可以從不止一家公司尋求幫助，確定得到全方位的建議。”

一個組織可能會拒絕為多個外部洞察支付額外的費用，因為它對目前的網絡安全環境完全有信心，或者因為它每年都在一個固定的預算下與同一個安全顧問合作。然而，這樣的推理通常是短視的。Bruno說:“最好有來自不同安全公司的意見，特别是對于更敏感的資料，以幫助發現新的威脅，并確定您擁有适當的技術，行政和實體保障措施。”

4.事件響應

網絡安全審計和測試公司Kirkpatrick Price的Joseph Kirkpatrick說，事故響應(Incident response，IR)是網絡安全中一個通常被忽視的需求，尤其是在預算方面。他指出，當企業因資料洩露而受害時，一個精心計劃的IR戰略可以拯救組織免于潛在的毀滅性的财務損失。“花時間雇傭和教育訓練一個負責事故反應的團隊會有回報的，”Kirkpatrick建議。

管理公司博思艾倫(Booz Allen Hamilton)負責網絡安全政策的副總裁魯迪•巴卡洛夫(Rudy Bakalov)表示，盡管存在固有的風險，很多企業未能對IR費用進行現實的預算。“在媒體上有大量的組織，即便具有成熟的安全程式，仍然被破壞的例子。很難了解為什麼組織不為間接成本制定更好的計劃，比如……保留/培養IR能力。也許他們認為自己的組織太大或太小，不可能成為攻擊目标，或者他們在賭這種事不會發生在自己身上。”

博思艾倫咨詢公司(Booz Allen Hamilton)商業網絡業務負責人克裡斯托弗•史密斯(Christopher Smith)補充稱，未能解決諸如IR之類的間接網絡安全成本所帶來的後果，與不充分考慮直接成本一樣重要，尤其是在事件響應方面。“沒有用于IR服務的預算金，可能會在遭遇勒索軟體事件時遇到拖延問題，進而造成更大的業務中斷、客戶流失和聲譽損失。”

5.重置成本

在判斷潛在脆弱資産的重置成本時，許多企業對哪些系統可能受到破壞或惡意軟體的影響采取了明顯短視的看法，僅将替換限制在最脆弱的系統上。Zafar說:“從資金的角度來看，這造成的損失遠遠超過了任何組織的預期。當然，這還取決于網絡安全入侵的範圍。”

最近盛行的居家辦公方式增加了重置成本的負擔。忽視對脆弱的家庭系統的更換或更新會招緻災難。Zafar警告說:“如果家庭系統受到影響，即使組織最終解決了該問題，這些系統也可能會無意中重新招緻公司的網絡漏洞。”

6.網絡安全教育訓練

許多最嚴重的網絡安全風險源自内部。Miller Canfield律師事務所負責網絡安全和資料隐私業務的律師雅各布·柯林(Jacob Koering)說:“許多公司承認，員工的行為是一個主要的風險來源。然而，同樣是這些公司，它們的資金預算嚴重不足，甚至忽視了員工教育訓練和内部威脅需求。”

Koering說，一個運作良好的網絡安全項目可以讓員工意識到他們的網絡安全義務，并通過内部監控加強這種意識，進而讓惡意行為者被迅速發現并抓獲。

7.網絡保險

許多企業還沒有意識到網絡保險的必要性，這一疏忽可能會帶來可怕的财務後果。北卡羅萊納-格林斯博羅大學(University of North Carolina-Greensboro)管理系教授尼爾•謝特裡(Nir Kshetri)表示:“具有諷刺意味的是，盡管網絡威脅日益增長，許多公司卻沒有為網絡保險做預算。”他經常就安全和加密貨币問題撰寫和發言。他指出:“截至2020年，美國隻有不到20%的小企業購買了網絡保險。”

Kshetri警告說，如果沒有網絡保險，組織可能無法保護自己免受與網絡攻擊相關的重大損失。除了保護企業免受潛在的毀滅性财務打擊外，簡單地申請網絡保險還可以帶來更強大的網絡安全基礎架構。是以，網絡保險承保過程可以幫助(組織)發現網絡安全漏洞，并提供改進機會。（本文出自SCA安全通信聯盟，轉載請注明出處。）