摘要:如今,企业在确定数据中心在网络安全方面的支出是否足够方面在理论上很容易,但实际上并不容易。 |
首先,企业确定其风险偏好。其次,可以确定网络事件对其关键资产和系统的潜在影响。第三,确定这些资产的漏洞。
将脆弱程度的潜在影响乘以风险,即可获得总风险。如果总风险高于企业可以容忍的风险,就需要加强您的网络安全。
企业的可承受风险水平取决于其规模、行业和市场定位。
“企业的目标是跟踪竞争对手的支出,或以更安全的方式提供更优质的服?”总部位于丹佛的网络安全公司ProtectWise公司首席产品官RamonPeypoch问道,“如果企业采用的方法是提供最安全的数据中心操作,而不是所有高调漏洞的一部分,那么可以将安全性用作业务的驱动因素。”
总部位于亚利桑那州Tempe的技术咨询商Insight公司的云计算和网络安全高级经理MikeSprunger表示,平均而言,企业倾向于将大约十分之一的IT预算用于网络安全。他说,高风险的业务(例如银行)将花费更多。
了解影响
Sprunger说,问题在于负责安全的人员往往侧重于全面的技术计划,而不是考虑对个别系统的潜在影响。结果他们最终在非关键系统上花费了太多时间、精力和费用,而对最重要的系统则不够关注。
“保护事物到他们对组织很重要的程度是一个众所周知的概念。”他说。“在实践中,这是一个罕见的组织,能够很好地做到这一点。例如,医院非常了解可能危及患者健康的各种风险。但同样的规则并未延伸到IT部门。”
如果安全管理人员无法区分需要保护的不同资产?“然后可能会花太多费用。”Sprunger说。
风险评估需要定期进行。“这是了解任何特定时间点风险的唯一途径。”他说,“那么你应该坚持制定路线图来解决这些风险,使其恢复到符合组织风险承受能力的程度。”
比如说,一个特定的安全问题会产生合规性影响,每月罚款2000美元,但其修复费用需要500,000美元。“那么企业需要整天支付罚款,”他说,“在进行技术投资之前,可能支付十年的罚款。”
衡量漏洞
如今,没有精确的方法来衡量特定组织或个人系统对网络安全攻击的脆弱程度。但专家表示,有一些方法可以获得合理的估算,并随着时间的推移逐步完善。
与许多其他业务领域一样,网络安全中的风险也是复杂且不可预测的。企业想方设法分析各种风险,否则他们会盲目操作。
衡量网络攻击成功的可能性通常从应用行业指南、最佳实践和安全框架开始,以确定漏洞区域。
渗透测试可以帮助确定黑客入侵特定系统的容易程度。
第三方风险评估公司也可以提供帮助,类似于信用机构计算个人信用评级的方式。
例如,FICO公司提供网络风险评分工具。该公司最近与美国商会就第一次国家网络安全评估进行了合作。其评估分数从300到850,就像传统的信用评分一样,与组织的规模和网络的复杂性相关联。例如,建筑公司的平均得分为764,而电信公司的得分为619。
企业需要了解其整体漏洞,与同行的比较,以及它如何随时间变化,可以帮助澄清用于网络安全的资金是否会产生影响。
编辑:Harris