关于安全违规成本的文章有很多。并且随着隐私法规的发布，我们根据企业的盈利或对每个攻击记录的价值进行计算，就可以计算出安全违规的成本。然而，这些硬数据似乎还不够详细，以至于无法使许多安全专业人员信服。

　　许多网络安全专业人员的推测都进行了一个不必要的转变，即从最初的可量化到如今不正确的概念。特别是，每当谈及数据泄漏成本时，名誉受损的话题总不免被提起。然而，许多c级的高管都将其视为耸人听闻的策略、边缘政策、空洞的威胁，或者说这本就是理所应当的。没有什么能够比无法估量的威胁更能转移人们对重要消息的注意力。

　　纵观历史，发生过的许多灾难都比隐私信息泄漏要更加严重，另一方面，也出现过一些几乎不受其影响的比较负责任的公司。而那些由于失误甚至造成人员伤亡的公司，如今也依然在蓬勃发展。在这里没有必要指明具体的名字和事件，因为这对我们来说都再熟悉不过了。同时，从纯粹的网络安全角度来看，即便那些代价最高的攻击，持续成功也都是显而易见的。

　　关键是，公司的名誉将会受到市场因素的影响，例如其偿付能力以及以往的声誉。当我们作为安全专业人员进行煽动性和危言耸听的猜测时，我们也就淡化了自己易掌握信息的重要性。讽刺的是，我们所损害的往往可能是我们自己的声誉。

　　人们经常说，安全专业人员不懂“业务语言”。这一直很令人费解，因为它对于纯技术人员来说并没有意义。然而，在阐明安全方案的重要性时，安全人员应该掌握一些简单的步骤，以从业务的角度来展现风险的严重性。

　　了解业务

　　心理学家的原则是“在客户的所在地与之会面”。这意味着，为了真正了解客户，我们必须站在他们的角度来考虑其存在的问题。商业上也是如此。对于大多数企业来说安全并不是首要目标。最重要的目的往往是赚取足够的钱来维持企业的运转。你的生意是如何取得成功的呢?当试图获取资金或安全方案时，进行投资回报计算(ROI)是非常必要的。

　　在许多安全项目中，实现准确的ROI计算是非常困难的。组织往往无法预测自己需要预防确切攻击的数量。然而，当涉及到违规成本计算时，事情就变得比较容易了，但同时也仍需要花费一定的精力。

　　了解数据

　　金融公司的记录与非营利组织或医疗机构的记录有很大的不同。在某些情况下，记录可能存储在完整性状态不同在的多个系统中。为了数据的值进行量化，组织必须对所有数据的所在地以及其所包含的内容进行清点。

　　在某些情况下，一个系统所包含信息有限，因此一旦其遭到破坏，那么这些记录都将变得毫无价值。在其他情况下，系统中可能包含着如个人身份信息(PII)等有价值的数据，而卫生保健系统，则包含着有价值的医疗数据。数据分类可以为该数据的优先级进行赋值，但为了更好地向董事会提出安全预算的案例，我们就必须为该数据分配真正的货币层次上的价值。这可以根据现有媒体报道和行业报告中的许多基准来实现。

　　了解电子表格

　　来自其他安全漏洞的比较信息应与业务相关的监管制裁一起提交。例如，如果企业遵守GDPR，那么处罚将与该组织的年度利润有关。如果业务受到CCPA的约束，那么将涉及对每次违规的处罚。如果组织同时受到多个规则的限制，那么这些都应该包括在内。当为系统收集这些相关数据，以及潜在记录的数量时，一个清晰的商业图景就逐渐显现出来了。

　　从简单移动到复杂移动

　　在演示数据价值时，最好先从价值小的记录开始演示，然后逐渐过渡到价值大的记录，这样可以展现出违规成本不断增加的趋势。在传递信息的同时，可以衡量一下整体的注意力情况，并在观众可接受的范围内调整演示内容。同时，还应该强调，首次攻击不会受到 处罚。相反，对此的惩罚是根据其影响因素来进行评估的(比如重复冒犯)。需要记住的是，这里的重点是要传达业务信息，而并非是要散布恐惧或威胁。

　　扩展到外设安全方案

　　即使组织已经正确地完成了所有事项，但其仍然有可能会存在一些缺陷需要进一步改进。例如，尽管所有敏感数据均已被加密，但组织却无法完全控制其所有加密密钥，那么这个时候组织就需要建立一个密钥管理平台。或者，倘若组织在不断追踪配置漂移，那么就很有必要去购买一个配置管理系统。

　　遵守这些指标，避免产生轰动效应

　　如今，人们能够比以往任何时候都更有能力，去准确地追踪安全指标。追踪所有的数据，然后将之与其真正的价值联系起来，这需要花费大量的精力。这是因为它与组织具体的业务相关联。但最终，比起对声誉受损进行空洞的预测，它将获得更多的支持。同时，这些指标本身就很显著。感觉主义对我们的服务来说，并无多大益处。

　　点评

　　企业通常很难估量网络威胁所能带来的具体损失，但却可以根据一定的指标来估算出网络安全违规的成本。因而，安全的违规成本往往反应了相关安全威胁的严重性。反之亦然，安全威胁的严重程度越大，企业需付的相关成本也就越高。

　　准确有效地向组织各层级展现威胁的重要程度，可以帮助组织识别优先事项，将有限的财力与精力用在“刀刃”上，从而更好地实现成本效益最大化。其中最关键的是，对于不同的组织，威胁所影响的业务，以及业务的具体价值都会受到不同因素的影响。

　　因此，安全人员需要从实际出发，结合具体影响要素来向阐明不同威胁对业务的影响程度，即严重性。

　　责任编辑：张华