如何在展示 ROI 的同时最大化您的安全预算

2021 年正面技术网络安全威胁格局 报告 透露,在大流行后世界,网络攻击仍在增加,与 2020 年相比增加了 17%。 勒索软件 仍然是攻击者最常用的恶意软件。随着平均赎金支付价值惊人地上升 82% 到 2021 年,为什么数据泄露问题会推动安全支出是可以理解的。企业必须能够向他们的客户和合作伙伴证明他们已经采取了明确而强大的安全措施。

安全预算投资回报率

但是,为数据泄露分配准确的货币价值可能是一项挑战,这使得证明安全支出的投资回报率变得困难。

改变态度:考虑衡量积极的业务成果

根据数据泄露的潜在成本分配安全预算侧重于负面后果,并不总是有助于建立有效的业务案例 投资于安全.

相反,组织应该关注安全投资如何证明 积极的 业务回报,例如这些安全支出的关键催化剂:

  • 竞争优势
  • 最佳实践和客户保证
  • 合规性
  • 外部审计
  • 供应链、投标或采购流程的合同义务

因此,我们确定了安全性为业务带来积极成果的五个关键领域。但它们能否帮助您最大限度地提高安全预算并展示投资回报率?让我们一一考虑它们。

竞争优势:不再是安全支出的商业案例

将 10 年倒回到 2011 年,当时 Netflix 仍在出租 DVD,在家工作的员工很不寻常,组织仍在 1995 年数据保护指令下运营。在那些日子里,增强数据安全性很可能会提供竞争优势,特别是如果您想与金融等“富有而偏执”的行业合作。

然而,对于当今的大多数行业而言,情况并非如此,因为强大的数据安全性已从必备品提升为必备品。良好的安全实践是一项要求,因此竞争优势不能再作为安全支出的有效商业案例来呈现。

最佳实践:量化的挑战

我们可以引用最佳实践作为在我们的安全预算中提供 ROI 吗?遵循最佳实践的组织肯定能够保护他们的知识产权和关键数据资产。此外,他们将显着降低业务连续性中断的风险。

但是,对于某些组织而言,准确量化“最佳实践”对其业务的意义可能是一项艰巨且耗时的挑战。采用最佳实践策略可能需要大量投资;它可能很贵。此外,最佳实践战略通常与业务战略以及监管和合规要求保持一致。

因此,虽然最佳实践数据安全策略会向客户和合作伙伴发出积极的信息,但它为证明您的安全预算中的特定 ROI 提供了一个薄弱的案例。

合规性:业务成本

尽管监管合规性肯定是安全投资的驱动因素,但它通常被视为开展业务的成本——不遵守监管要求,企业本身就会面临风险。

规定如 GDPR 是跨行业的,而有些则是针对特定行业的,例如金融行为监管局 (FCA) 法规、国际武器贸易法规 (ITAR) 和健康保险流通与责任法案(HIPAA)。对此类法规的合规性有广泛的了解并不适合通常的 IT 安全技能组合,在这些技能组合中,法规通常被认为是实施安全的不那么鼓舞人心的理由。

合规性可能需要大量投资——不仅在技术方面,而且在专业的人员和流程方面。例如,企业必须遵守 12 项运营和技术要求才能满足支付卡行业数据安全标准 (PCI DSS)。

因此,法规遵从性通常属于业务预算而不是安全性,因此在尝试证明安全性预算中的 ROI 时引用是没有用的。

外部审计:通常是反动的

外部审计呢?他们能否在安全预算中展示投资回报率?

再次,没有。在大多数情况下,外部审计是作为对法律法规或组织的团体要求的反应,这些要求将它们分配给一般业务责任。企业需要对审计的输出、结论和建议做出反应。任何差距都需要额外或重新分配预算,这使其成为一项业务责任。因此,虽然外部审计可能会推动安全支出,但它们并不能真正帮助显示安全支出的投资回报率。

合同义务:明确规定了安全要求

现在我们在说话。当涉及到您的供应链中的合同义务或您的投标和采购流程时,将明确规定保护每个企业的数据或网络所需的安全性。

虽然组织会根据其风险策略采用不同的方法,但所有组织都应该期待共同的安全控制。例如,这些可能包括年度渗透测试、网络钓鱼评估、定期防火墙审计以及安全信息和事件管理(西门子) 或安全运营中心 (SOC) 监视事件并响应事件。

这些具体而明确的合同义务使得在安全预算中展示投资回报率变得容易。对于大多数组织而言,投资回报率可以在三个关键领域找到:

  • 维护现有的服务协议
  • 简化新客户的入职流程
  • 向客户持续保证他们遵守合同义务。

与客户或供应商合作时通常需要的安全控制包括安全认证和信息安全框架,例如 ISO 27001 或其更实惠且可实现的替代方案,即 IAMSE 治理标准,其中包括 GDPR 要求 和网络要素。就此而言,如果您要向政府机构招标,则 Cyber​​ Essentials 和 Cyber​​ Essentials Plus 是必不可少的。

是的,这些控制需要大量的时间和财务投资,但它们在一个很容易展示明确和积极的投资回报率的环境中向客户和供应链展示了明确和具体的安全承诺,用安全预算抵消合同价值。




分享这个