在评估企业安全工具的有效性时,如何找到最合适的模型来计算“安全投资回报率”(ROSI)是一个令人头疼的问题。就在几年前,安全事件的潜在损失主要是公司声誉的经济损失,只有少数案件涉及高额法律费用或服务长期中断。但随着GDPR和其他国际法引入新的罚款,以及过去几年安全漏洞数量和复杂性的增长,评估安全事件的可能性和影响以及更稳健的衡量变得越来越紧迫需要对安全投资进行评估。物有所值的方法现实世界中最流行的安全预算部署模型基于简单的成本核算——查看预算中的每一分钱都能得到什么。这是预算分配的一个很好的起点,但是对于这种简单的工作方法,您需要评估它的“收益”部分,而这正是它变得棘手的地方。要将财务模型应用于安全的“价值”,我们可以考虑设定一个目标,即尝试尽可能多地减轻风险,理想情况下,增加安全控制的成本等于安全事件额外节省的潜在价值程度。这就是基本控制等概念使问题易于处理的地方。通过识别可衡量的控制(尤其是那些有行业支持的,例如那些为PCI合规性而开发的),可以以可衡量的“每件”成本评估和实施工具和流程。这些基本控制为您提供了安全套件的一部分——旨在围绕IT系统构建防护的预防机制。投资监控工具,但平衡的安全应用程序组合远远超出了基本控制。用于检测何时发生安全漏洞的检测控制投资也在增长,因为没有可以完全防止所有入侵的绝对安全。此类工具可以以监控工具的形式出现,协助判断系统是否真的受到攻击,如果是,则通过分析日志文件和审计追踪来判断攻击的类型和程度。除了预防和监控工具外,安全解决方案中还有与流程相关的成本。IT安全政策和程序的设计应能够响应可疑的安全事件,支持维护和安全培训等其他服务。此外,考虑到所有这些安全投资,是时候开始评估您的技术响应中有多少可以自动执行或手动执行了。评估人为因素安全行为的背后是人的技术要求。最好的自动化工具还需要维护和安全数据分析才能发挥作用。因此,尽管自动化是使安全解决方案更具成本效益的重要组成部分,但很少有公司会估计这些自动化技术的真正回报。被防火墙丢弃的数据包很难等同于安全增益,但将导致连接缓慢的DDoS攻击的风险与预先获取该带宽的成本进行比较。应用于垃圾邮件的另一种评分机制是“浪费时间”。这些数字可能很大,反映了成功识别和阻止垃圾邮件的数量,这可以转化为对生产力的帮助。每个员工少处理一封垃圾邮件,随着时间的推移,这个数字会非常大。最后,稳健的指标还可以解释帮助台在垃圾邮件场景中收回误报的时间,以及对延迟发送最终用户电子邮件的惩罚。那么,我们如何确保物有所值?从提高安全团队的工作效率并确保在服务功能保持可用的同时将风险降至最低的角度来看,提供可转化为人类收益的指标的工具是一个明智的起点。从旨在识别风险的工具和流程开始,提供适当的评估报告和分数,以及缓解策略意味着您可以从仅仅评估威胁迅速转变为能够衡量投资于良好安全性的回报。【本文为专栏作家“李少鹏”原创文章,转载请通过暗牛(微信♂id:gooann-sectv)获得授权】点此查看作者更多好文
