7项易被忽视的网络安全成本

来源 :计算机世界 | 被引量 : 0次 | 上传用户:xue19830821
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读



  对于网络攻击,防患于未然总比攻击发生后修复损失的成本低得多。尽管如此,很多企业在编制网络安全预算时仍存在重大遗漏,会使企业很容易遭受重大财务损失。
  每一家企业,无论规模多大,关注的重点是什么,都应制定合理、准确的网络安全预算。佐治亚州肯尼索州立大学信息安全与保障学教授Humayun Zafar 评论说:“只有做好预算,我们所有的一切才具有现实和实际意义。”
  Zafar 指出, 尽管企业尽最大努力去保护系统和资源,但网络安全事件仍在快速增长。他警告说:“预算的增长远远赶不上这些威胁发生的速度,更别说发展了。”因此,企业在投资网络安全时必须要明智。Zafar 说:“不可能一切都得到保障,所以优先次序是关键。”
  本文介绍了规划人员经常忽视或者未能切实解决的7个关键网络安全预算项目。

1. 员工招聘和留任


  很多企业无视长期趋势,一直低估招聘和保留熟练的网络安全专业人员的成本。商业咨询公司EY Consulting的网络安全负责人CarolynSchreiber 指出:“在过去几年里,合格的专业人士与成倍增长的工作岗位之间的差距一直在稳步扩大。简单地说,竞争依然激烈,人才争夺战仍在继续。”结果,很多企业发现,在招聘和留住合格的网络安全专业人员时,他们的招聘预算严重超支了。
  商业咨询公司德勤风险与金融咨询公司的美国网络和战略风险负责人DeborahGolden 指出,早在疫情之前,网络安全人才就一直短缺。她敦促说:“如果你的企业能够招聘到有技能的网络人才——即便打算让这些人一直保持远程工作状态,也要把他们招进来。”

2. 云开支


  SAP 国家安全服务公司首席信息安全官TedWagner 表示, 与网络安全相关的云支出往往被低估或者管理不善。他认为:“通常情况下,云支出并不是集中的,一家企业中的很多部门在没有适当控制的情况下就开始在云环境中进行测试或者开发。”在云服务上的过度花费可能会使原本被认为是成本低廉、甚至可能节省预算的项目演变成严重拖累财务资源的项目。
  云预算应反映实际的定价,同时预测出各个业务部门试用和测试基于云安全工具的额外成本。Wagner 警告说:“在一家大型企业中,这些逐渐增加的成本会很快累积起来。”

3. 第三方建议和分析


  企业往往忽视了第三方漏洞测试的预算,以及聘请顾问就潜在网络威胁向管理者和员工提供建议的预算。国际律师事务所Reed Smith的网络安全合伙人SarahBruno 律师建议:“在这方面有较大的预算是件好事,这样就可以从多家公司那里获得非常全面的建议。”
  一家企业可能会拒绝为多项外部深度分析支付额外费用,因为它对其当前的网络安全环境完全有信心,或者因为它每年以固定的预算与同一位安全顾问合作。然而,这种想法通常是短视的。Bruno 说:“最好是从不同的安全公司获得信息,特别是对于更敏感的数据,这有助于发现新的威胁,并确保企业有适当的技术、管理和物理保护措施到位。”

4. 事件响应


  网络安全审计和测试公司Kirkpatrick Price 的Joseph Kirkpatrick 说,事件响应(IR,IncidentResponse)通常是被忽视的网络安全需求,在预算方面尤其如此。他指出,当一家企业因数据泄露而受害时,精心策划的IR 策略可以使企业免于可能出现的灾难性财务损失。Kirkpatrick 建议说:“花时间招聘并培训一个负责IR 的团队是会有回报的。”
  管理公司博思艾伦汉密尔顿(Booz AllenHamilton)负责网络安全战略的副总裁Rudy Bakalov认为,尽管存在固有的风险,但企业仍然无法对IR 费用进行比较实际的预算。他指出:“尽管媒体上有大量企业(大都有成熟的安全程序)被攻破的例子,仍然很难想象为什么企业没有为间接成本制订更好的计划,比如保持/加强IR 能力。也许他们认为自己的企业太大或者太小,不可能成为攻击目标,或者他们在赌这种事不会发生在自己身上。”
  博思艾伦汉密尔顿公司商业网络业务的负责人Christopher Smith 补充说,未能解决IR 等间接网络安全成本的后果,并不亚于没有充分考虑直接成本,尤其是在IR 领域。没有IR 服务预算,可能导致勒索软件等事件被不必要的拖延,从而造成更大的业务中断、客户流失和声誉受损。”

5. 替换成本


  在判断潜在易受攻击资产的替换成本时,对于哪些系统可能会受到泄露事件或者恶意软件的影响,很多企业的观点是非常短视的,他們仅仅是替换最易受攻击的系统。Zafar 说:“ 从成本的角度来看,这导致的损失远远超过了一家企业的任何预期。严重程度将取决于网络安全泄露事件涉及的范围。”
  最近转向在家工作增加了替换成本负担,使得疫情前的估计付诸东流。忽视对脆弱的家庭系统的替换或者升级会招致灾难。Zafar 警告说:“如果家庭系统受到影响,这些系统可能会无意中在企业网络中重新造成漏洞——即使企业最终已经解决了这些问题。”

6. 网络安全培训


  很多最严重的网络安全风险源自内部。MillerCanfield 律师事务所网络安全和数据隐私业务的律师Jacob Koering 说:“很多公司都承认员工的行为是风险的主要来源。”他补充道:“然而,这些公司严重缺乏资金,甚至忽视了员工培训和内部威胁需求。”
  Koering 说, 一项运行良好的网络安全计划可以确保员工意识到他们的网络安全义务,并通过内部监控加强这种意识,以确保恶意行为人能被迅速发现并抓获。

7. 网络保险


  很多企业还没有意识到网络保险的必要性——这方面的疏忽可能带来可怕的财务后果。北卡罗来纳大学格林斯博罗分校管理系教授Nir Kshetri 经常就安全和加密货币问题撰写文章, 发表评论, 他说:“具有讽刺意味的是,尽管网络威胁在不断增加,很多公司却没有为网络保险做预算。”他指出:“截至2020 年,美国只有不到20% 的小企业购买了网络保险。”
  Kshetri 警告说,没有网络保险,企业可能无法保护自己免受与网络攻击相关的重大损失。除了保护企业免受潜在的毁灭性财务打击外,简单地申请网络保险就能带来更强大的网络安全基础设施。他说:“网络保险以美元价值表示网络风险。因此,网络保险承保流程可以帮助企业发现网络安全漏洞,有机会进行改进。”
  本文作者John Edwards是一位资深的商业技术记者。他的文章发表在《纽约时报》、《华盛顿邮报》以及很多商业和技术出版物上, 包括CIO、ComputerWorld、《网络世界》、CFO 杂志、IBM 数据管理杂志、RFID 杂志和《电子设计》等。
  原文网址
  https://www.csoonline.com/article/3583604/7-overlooked-cybersecuritycosts-that-could-bust-yourbudget.html
其他文献
隨着物联网(IoT)在企业环境中的爆炸式增长,IT专业人士得以有机会获得新的领导角色。通常情况下,物联网部署是企业转型计划中的关键,因此对于IT专业人士来说,掌握了如何领导重大物联网项目的技能,可对他们的职业发展产生深远影响。  如今,许多企业都在努力解决如何正确管理和保护物联网部署的问题。为此,他们需要能够评估各种物联网连接选项、平衡不同连接设备的需求,以及部署适当的边缘基础设施以收集和处理物联
期刊
如果仔细想一下,我们会发现自己对网络服务的很多期望其实都与我们自己的个性化需求有关,我们期望我们的服务能够如我们希望的那样发挥作用。同时我们希望网络运营商能够了解我们、适应我们的需求。由几十万个元素组成的巨型全球互连网络能否做到这一点?这意味着个性化服务必须要涉足用户实际占有的网络边缘。  几十年前我们就认识到,不能让庞大的网络具有用户意识或服务意识。这种意识在网络语言中被称为“有状态”,其意味着
期刊
作為身在一家EDA/工业软件前沿领域企业的IT人,从未有过这样一个时刻能深刻感受到时代浪潮的涌动。AI正在推动新一轮半导体行业迅猛增长,越来越多的新增用户给IT部门带来了新的机遇与挑战,促进了行业数字化转型,IT部门的职能也将从传统的内部技术支持逐渐过渡到软硬件产品线支持以及更多面对外部客户提供EDA/工业软件一体化的解决方案。存量和新增客户服务需求的增加,也促使IT部门用更多的新技术和新思维去考
期刊
随着越来越多的IT领导发现基于项目的交付模式无法实现他们的数字化转型愿望,最近向以产品为中心的IT转变速度在加快。  在传统的项目管理中,业务部门构建软件,根据经过仔细校准的时间线来翻阅任务列表并跟踪预算。据分析公司Gartner称,在基于项目的IT交付模式中,通常不考虑企业整体战略和路线图,瀑布式开发方法是这些领域中的首选开发方法,该方法谨慎地收集KPI和其他有助于衡量业务价值的指标。  同时,
期刊
曹光正先生自2018年7月成為金杜CIO,主要负责金杜的信息化建设与管理工作。在此过程中,结合专业法律服务的特点和大型律师事务所的业务要求,通过提升事务所智能化运营水平、打造全球企业圈、持续推出数字化工具、建立全球信息交换网络以及一体化IT组织等举措,提升了事务所运营管理水平及律师的工作效率,成功地推动了金杜律师事务所的数字化建设。  数字化建设,其核心还是为了支持业务发展。在IT与业务结合的过程
期刊
Wi-Fi 6标准(802.11ax)为Wi-Fi带来了许多令人兴奋的改进,这也让其成为了一个具有吸引力的选项。它们可以在现实世界中实现千兆无线连接,并且支持体育场馆等高密度网络。尽管如此,用户在部署Wi-Fi 6时仍需要进行仔细的考虑和认真规划。是否需要如此快的速度?  为了让无线网络连接速度实现数千兆,大多数Wi-Fi 6接入点(AP)都提供2.5Gbps或5Gbps LAN连接,而几乎所有W
期刊
新冠肺炎疫情给IT界带来了巨大压力,但也证明了那些关注新趋势的人做出的一系列基础设施选择是正确的。事实证明,对于很多企业来说,云是应对疫情引发变革的一剂灵丹妙药。早期采用者大胆投入的RPA和人工智能,在疫情爆发时能够主动应对,处于有利地位,企业随之推广应用,自动化也得到了很大发展。  尽管如此,不管有没有疫情,IT部门永远都不能自满。变革往往说来就来,它是这个行业永恒的组成部分。IT的变革正在加速
期刊
随着分布式数字化办公逐渐兴起,用户支持、IT部门与人力资源的关系以及前端技术都需要重新思考。  2020年春天,随着新冠肺炎疫情的蔓延,全球数千万人不得不开始远程办公。IT和用户都能够很快地适应,考虑到调整范围,企业能够相对轻松地继续开展业务。更重要的是,在全球范围内,员工的生产率实际上都得到了提升,甚至在最初的新鲜感消退之后,这种状态依然得到了保持。  Gartner分析师Suzanne Adn
期刊
在日前举行的第二届中国互联网基础资源大会(CNIRC2020)上,国家互联网信息办公室副主任杨小伟表示,我国数字经济规模已从“十三五”初的11万亿元,增长到2019年的35.8万亿元,占GDP比重超过36%,对GDP贡献率高达67.7%;五年间,我国互联网基础资源行业实现跨越式发展,网民规模从2016年的6.88亿人增至2020年的9.4亿人,互联网普及率从50.3%增至67.0%,超全球平均水平
期刊
与所有技术性或创造性工作一样,软件工程团队的效率是不能以数量来衡量的。如果仅衡量软件开发的生产力和跟踪团队的绩效,那么只需要简单地计算一下代码行数或工作时间即可。工作的质量和团队的协作会对生产力产生直接和持久的影响。软件开发效率正变得日益灵活且相互之间具有千丝万缕的联系,加之敏捷性的不断增强,传统的关键绩效指标(KPI)如今已经失效。  为了适应发展趋势,我们需要重新考虑KPI,扩大团队并重新定义
期刊