安全预算没有涵盖所有基础开销?预算规划人员经常准备不足或压根儿没考虑到的七项支出,了解一下?

防患于未然总比事后补救省时省力省钱。然而,很多企业在编制网络安全预算时会出现重大疏漏,导致企业容易遭受重大财务损失。

无论规模或产业方向如何,每家企业都应制定合理、准确的网络安全预算。佐治亚州肯尼索州立大学信息安全与保障教授Humayun Zafar表示:“预算为几乎所有事物带来了实现的希望。”

Zafar指出,尽管企业竭尽全力保护系统和资源,但网络安全事件仍在迅速增长。他警告道:“预算的增长速度不能与威胁的发生速度相提并论,更不用说威胁还在不断进化了。因此,企业和机构必须明智投资网络安全。不是所有东西都能防护周全,所以,优先顺序至关重要。”

下面列出七项关键网络安全预算项目,都是预算规划人员往往忽略或未能切实解决的。

1. 员工招募和保留

与长期趋势相反,许多企业和机构持续低估聘用和保留成熟网络安全专业人员的成本。商业咨询公司EY Consulting的网络安全主管Carolyn Schreiber说:“在过去的几年中,合格的专业人员与职位空缺的指数级增长之间,差距一直不断扩大。简单讲,竞争仍然激烈,人才之战仍在继续。”结果,在努力招募和保留合格的网络安全专家时,许多企业和机构惨痛发现:招聘预算已经耗尽。

商业咨询公司德勤风险与金融咨询公司美国网络和战略风险主管Deborah Golden观察到,远在新冠肺炎疫情爆发之前,网络安全人才短缺现象就一直持续。她敦促说:“如果您的企业可以招募成熟的网络人才,即使打算永远远程办公,赶紧下手。”

2. 云支出

SAP National Security Services(NS2)首席执行官Ted Wagner表示,与网络安全相关的云支出通常被低估或管理不善。他指出:“通常,云支出并不集中,企业和机构的许多部门在没有适当控制的情况下就开始在云环境中进行测试或开发。”在云服务上的过多支出,可能会使原本认为的廉价、甚至有望节省预算的项目,变成对财务资源的严重拖累。

云预算应反映实际定价,同时预期各个业务部门试用和测试基于云的安全工具的额外费用。对大型企业和机构而言,这类增量支出会迅速累加。

3. 第三方建议和数据分析

企业经常忽略第三方漏洞测试的预算,也没有考虑到聘请顾问就潜在网络威胁向经理和员工提供建议的开支。国际律师事务所Reed Smith网络安全合作伙伴Sarah Bruno律师表示:“这方面预算越大越好,这样您就可以从多家公司寻求帮助,确保获得全方位的建议。”

因为对当前网络安全环境完全放心,或者每年以固定的预算与同一安全顾问合作,有些企业或机构可能拒绝为多种外部见解支付额外的费用。然而,这种想法通常是短视的。最好有来自不同安全公司的意见,特别是事关敏感数据的时候,这样才能帮助发现新的威胁,确保适当的技术、管理和物理保障措施已就位。

4. 事件响应

网络安全审计与测试公司Kirkpatrick Price的Joseph Kirkpatrick表示,事件响应(IR)个通常被忽视掉的网络安全需求,但尤其是在预算方面。他指出,因数据泄露而受害时,精心设计的事件响应策略可以使企业和机构免于潜在的灾难性财务损失。Kirkpatrick表示:“花时间雇用和培训负责事件响应的团队终将值回票价。”

管理公司Booz Allen Hamilton的网络安全策略副总裁Rudy Bakalov表示,尽管存在固有风险,但企业仍然无法为IR支出做出切实的预算。他指出:“媒体报道中那么多本应具备成熟安全项目的大型企业遭遇了数据泄露,很难想象为什么企业不为间接成本做好计划,比如保留或打造事件响应能力。也许他们认为自己的企业太大(或太小),攻击者不会找上他们;或者就是单纯存在侥幸心理。”

Booz Allen Hamilton商业网络业务主管Christopher Smith补充道,未能解决事件响应之类的间接网络安全成本,与没充分考虑直接成本一样令人头疼,尤其是在事件响应方面。没有留够保障事件响应服务的人员,可能导致勒索软件响应迟缓等事件,从而造成更严重的业务中断、客户流失和声誉受损。”

5. 替换成本

判断潜在易受攻击资产的替换成本时,许多企业对哪些系统可能受到漏洞或恶意软件的影响判断不足,仅将最易受攻击的系统列入替换清单。Zafar称:“从纯经济角度出发,这会导致远超企业预估的损失。关键程度将取决于网络安全漏洞的范围。”

最近的在家办公趋势增加了重置成本的负担,新冠疫情爆发前的估算湮灭于尘埃。忽略脆弱家庭系统的替换或升级只是在向灾难敞开大门。即使企业端已经打上补丁,只要家庭系统受影响,这些系统无疑会将漏洞引入企业网络。

6. 网络安全培训

很多重大网络安全风险都源于内部。律师事务所Miller Canfield网络安全与数据隐私业务主管Jacob Koering律师称:“许多公司都承认,自家员工的行为是主要的风险来源。然而,这些公司却严重缺乏资金,甚或是忽略了员工培训和内部人威胁防护的需求。”

Koering表示,运做良好的网络安全计划可确保员工意识到自身网络安全义务,并通过内部监控来增强这种意识,确保迅速发现并捕获作恶者。

7. 网络保险

许多企业尚未意识到网络保险的必要性,而这种疏忽可能带来可怕的财务后果。北卡罗来纳州格林斯伯勒大学管理系教授Nir Kshetri是安全和加密货币问题专家。他表示:“具有讽刺意味的是,尽管网络威胁在不断增加,但许多公司并未给网络保险做预算。2020年,美国只有不到20%的小企业购买了网络保险。”

Kshetri警告称,如果没有网络保险,企业和机构可能无法保护自己免受网络攻击相关重大损失。除了保护企业免受潜在的灾难性性财务打击,申请网络保险可以带来更强大的网络安全基础设施。网络保险以金钱价值体现网络风险。网络保险投保过程可以帮助企业发现网络安全漏洞,提供加以改善的机会。