对于网络攻击,防患于未然的成本总是远低于攻击发生后修复损失的成本。尽管如此,许多组织在制定网络安全预算时仍存在重大遗漏,使他们容易遭受重大财务损失。每个企业,无论其规模或重点,都应该有一个合理和准确的网络安全预算。佐治亚州肯尼索州立大学信息安全与保证教授HumayunZafar评论说:“只有做好预算,我们所拥有的一切才现实而实用。”扎法尔指出,尽管企业尽最大努力保护系统和资源,但网络安全事件仍在快速增长。“预算远没有这些威胁发生的速度快,更不用说增长了,”他警告说。因此,企业在投资网络安全时必须明智。Zafar说:“不可能确保一切都安全,因此确定优先级是关键。”本文介绍了规划者经常忽视或未能切实解决的七个关键网络安全预算项目。1.员工招聘和保留许多组织一直低估了招聘和留住熟练网络安全专业人员的成本,忽视了长期趋势。商业咨询公司EYConsulting的网络安全负责人CarolynSchreiber指出:“在过去的几年里,合格的专业人员与呈指数增长的工作岗位之间的差距一直在稳步扩大。简而言之,竞争依然激烈,人才争夺仍在继续。”因此,许多组织发现,在招聘和留住合格的网络安全专业人员方面,他们的招聘预算大大超支。商业咨询公司DeloitteRisk&FinancialAdvisory的美国网络和战略风险负责人DeborahGolden指出,早在大流行之前就存在网络安全人才短缺的问题。她敦促说:“如果您的组织可以聘请熟练的网络人才——即使您计划一直保持远程工作,也请将他们带进来。”首席执行官泰德瓦格纳表示,与网络安全相关的云支出往往被低估或管理不善。他认为:“通常,云支出并不集中,企业中的许多部门在没有适当控制的情况下开始在云环境中进行测试或开发。”原本应该便宜且可能对预算有利的项目变成了对财政资源的严重拖累。云预算应反映实际定价,同时预测各个业务部门试用和测试基于云的安全工具的额外成本。瓦格纳警告说:“在大型企业中,这些增量成本会迅速增加。”具有建议预算的供应商和员工。国际律师事务所礼德史密斯(ReedSmith)的网络安全合伙人莎拉布鲁诺(SarahBruno)建议:“在这方面有更多的预算是件好事,这样你就可以从多家律师事务所获得非常全面的建议。”多次外部深入分析支付额外费用,因为它对其当前的网络安全环境充满信心,或者因为它每年以固定预算与同一位安全顾问合作。然而,这种想法往往是短视的。布鲁诺说:“最好从不同的安全公司获取信息,特别是对于更敏感的数据,这有助于发现新的威胁,并确保企业有适当的技术、管理和物理保护措施到位。”4.事件响应(IR,IncidentResponse)是一个经常被忽视的网络安全需求,尤其是在预算方面,事件响应网络安全审计和测试公司KirkpatrickPrice的JosephKirkpatrick说。他指出,当企业因数据泄露而受害时,精心策划的IR策略可以使企业免于遭受潜在的灾难性财务损失。“花时间雇用和培训一个负责IR的团队会有回报,”柯克帕特里克建议道。管理公司BoozAllenHamilton的网络安全战略副总裁RudyBakalov认为,尽管存在固有风险,但公司仍然无法为IR费用制定更切合实际的预算。他指出:“尽管媒体上有无数公司(大多数拥有成熟的安全程序)被破坏的例子,但仍然很难想象为什么公司没有更好的间接成本计划,例如维持/加强IR能力。也许他们BoozAllenHamilton商业网络业务负责人克里斯托弗史密斯补充说:间接网络安全成本的后果不亚于没有充分考虑的直接成本,尤其是在IR领域。如果没有IR服务预算,勒索软件等事件可能会被不必要地延迟,从而导致更大的业务中断、客户流失和声誉受损。5.更换成本在判断潜在易受攻击资产的更换成本时,许多组织对哪些系统可能受到漏洞或恶意软件的影响采取非常短视的观点,并简单地更换最易受攻击的系统“从成本的角度来看,这导致的损失远远超过企业的预期,”Zafar说。严重程度将取决于网络安全漏洞的范围。“最近转向在家工作增加了更换成本负担,将大流行前的估计抛在空中。忽视更换或升级脆弱的家庭系统可能会带来灾难。如果家庭系统受到损害,这些系统可能会无意中失败,”Zafar警告。漏洞在企业网络中重新产生——即使企业最终修复了它们。6.网络安全培训许多最严重的网络安全风险都源于内部。“许多公司都认识到员工行为是主要的风险来源,”MillerCanfield网络安全和数据隐私实践的律师JacobKoering说。他补充说:“然而,这些公司资金严重不足,甚至忽视了员工培训和内部威胁需求。”Koering说,运行良好的网络安全计划可以确保员工了解他们的网络安全义务,并通过内部监控加强这种意识,以确保迅速发现和抓获恶意行为者。7.网络保险许多企业还没有意识到网络保险的必要性——这方面的疏忽会导致可怕的财务后果。NirKshetri是北卡罗来纳大学格林斯伯勒分校的管理学教授,经常就安全和加密货币问题撰写文章和发表评论。“具有讽刺意味的是,尽管网络威胁越来越多,但许多公司并没有为网络保险制定预算。”他指出,“截至2020年,美国只有不到20%的小企业拥有网络保险。”Kshetri警告说,如果没有网络保险,企业可能无法保护自己免受与网络攻击相关的重大损失。除了保护企业免受潜在的毁灭性财务打击外,简单地申请网络保险可以带来更强大的网络安全基础设施。“网络保险代表美元的网络风险术语,”他说。因此,网络保险承保流程可以帮助企业识别网络安全漏洞和改进机会。”
