关于安全漏洞的成本已经写了很多。并且随着隐私法规的发布,我们可以根据企业的盈利能力或每条攻击记录的价值来计算安全违规的成本。然而,这些硬数据似乎不够详细,无法说服许多安全专家。许多网络安全专业人士的猜测已经从最初可量化的概念不必要地转变为今天的错误概念。特别是,每当讨论数据泄露的成本时,名誉损害的话题总是会出现。然而,许多C级高管认为这是耸人听闻、边缘政策、空洞的威胁,或者它本应如此。没有什么比无法估量的威胁更能分散人们对重要新闻的注意力了。纵观历史,比私人信息泄露更严重的灾难不在少数,而另一方面,也有一些比较负责任的企业几乎没有受到影响。而那些因失误造成人员伤亡的企业,如今依然蒸蒸日上。具体的名字和事件这里就不必赘述了,因为这些我们都太熟悉了。与此同时,从纯粹的网络安全角度来看,即使是代价最高昂的攻击也会持续取得成功。关键是,一家公司的声誉会受到其偿付能力和过去声誉等市场因素的影响。当我们作为安全专业人员进行煽动性和危言耸听的猜测时,我们低估了让信息触手可及的重要性。具有讽刺意味的是,我们损害的往往是我们自己的声誉。人们常说安全专家不懂“商业语言”。这一直令人费解,因为它对纯技术人员来说没有意义。然而,在阐明安全计划的重要性时,安全人员应该掌握一些简单的步骤,从业务角度证明风险的严重性。了解商业心理学家的原则是“与客户会面”。这意味着为了真正了解我们的客户,我们必须设身处地为他们着想,考虑他们的问题。商业也是如此。安全不是大多数企业的主要目标。最重要的目的通常是赚到足够的钱来维持业务的发展。您的企业是如何取得成功的?在尝试获得资金或安全解决方案时,必须执行投资回报率(ROI)计算。在很多安全项目中,实现准确的ROI计算是非常困难的。组织通常无法预测他们需要防止的攻击的确切数量。然而,当谈到不合规的成本时,事情就容易多了,但仍然需要付出一些努力。了解数据金融公司的记录与非营利组织或医疗机构的记录大不相同。在某些情况下,记录可能存储在具有不同完整性状态的多个系统中。为了量化数据的价值,组织必须清点所有数据所在的位置及其包含的内容。在某些情况下,系统包含的信息非常少,如果遭到破坏,这些记录将变得一文不值。在其他情况下,系统可能包含有价值的数据,例如个人身份信息(PII),在医疗保健系统中,可能包含有价值的医疗数据。数据分类可以为该数据分配优先级,但为了更好地将安全预算案例提交给董事会,我们必须为该数据分配一个真实的货币级别值。这可以根据现有媒体报道和行业报告中的许多基准来实现。了解来自其他安全漏洞的电子表格的比较信息应与业务相关的监管制裁一起提交。例如,如果一家企业遵守GDPR,那么罚款将与该组织的年利润相关。如果企业受CCPA约束,则每次违规都会受到处罚。如果组织同时受制于多个规则,那么这些都应该包括在内。当这些相关数据和潜在记录的数量被系统收集起来后,清晰的业务图景逐渐浮现。例如,一个具有全球影响力的组织可以用以下方式表示:从简单的动作到复杂的动作。显示不合规成本增加的趋势。在传递信息的同时,可以衡量整体的注意力情况,在听众可以接受的范围内调整呈现内容。同时还需要强调的是,首攻没有罚分。相反,对此的惩罚是根据其影响因素(如屡犯)来评估的。重要的是要记住,这里的重点是传达商业信息,而不是传播恐惧或威胁。扩展到外围安全解决方案即使一个组织已经正确地完成了所有事情,仍然存在一些需要进一步改进的差距。例如,即使所有敏感数据都已加密,但无法完全控制其所有加密密钥的组织仍需要有一个密钥管理平台。或者,如果组织不断跟踪配置偏差,则可能需要投资配置管理系统。遵循这些指标,避免哗众取宠如今,人们比以往任何时候都更能够准确地跟踪安全指标。跟踪所有这些数据,然后将其与其真实价值联系起来需要付出很多努力。这是因为它与组织的特定业务相关联。但最终,它会比空洞的声誉受损预测得到更多支持。同时,这些指标本身也很出色。耸人听闻对我们的服务没有什么好处。评论公司通常很难估计网络威胁可能带来的具体损失,但他们可以根据某些指标来估计网络安全违规的成本。因此,安全漏洞的成本通常反映了相关安全威胁的严重性。反之亦然,安全威胁的严重性越大,企业的相关成本就越高。准确有效地向组织的各个层级展示威胁的重要性,可以帮助组织确定优先级,将有限的财力和精力用在“刀刃”上,更好地实现成本效益最大化。最重要的是,对于不同的组织而言,受威胁影响的业务和业务的具体价值会受到不同因素的影响。因此,安全人员需要从实际出发,结合具体的影响因素,明确不同威胁对业务的影响程度,即严重性。
