数据驱动型首席信息安全官现在需要采取的 4 种策略来保护他们的预算

企业组织每年在安全工具和系统上花费数十亿美元，以保护他们免受不断变化的威胁环境的影响。然而，尽管每年投入大量资金，但数据泄露的数量仍在继续增加。

在过去十年中，IT安全预算一直被认为是预算中不可触及的项目，并且由于重大数据泄露所代表的生存威胁，在很大程度上避免了对其他部门的削减。

然而，对即将到来的全球经济衰退的恐惧和不确定性迫使企业领导者认真审视其运营预算中的每一个条目。企业首席信息安全官不能再假设他们的预算将不受成本削减措施的影响。相反，他们必须准备好回答有关其安全计划整体成本效益的尖锐问题。

换句话说，虽然企业明白需要投资于强大的安全工具和专家从业者，但现在的问题是，多少才足够？如何调整其安全支出以仍保持可接受的风险敞口水平？

如果安全领导者要在未来几年有机会捍卫或增加预算，他们需要用经验数据武装自己，并能够清楚地向那些持有公司钱包的人传达其安全投资的商业价值。

量化安全计算

二十多年前，著名的技术专家布鲁斯·施奈尔（Bruce Schneier）创造了“安全剧院”一词来描述实施安全措施的做法，这些措施提供了提高安全性的感觉，但实际上几乎没有做任何事情来实现它。

如今，许多执行董事会开始怀疑，所有这些安全工具和系统的积累是否带来了与其投资相称的经济利益，或者这是否只是一种歌舞伎剧场的形式，旨在让他们感到他们宝贵的公司资产得到了充分的保护。

首席信息安全官同样面临以下挑战：没有标准化的方法来衡量信息安全的有效性。安全领导者究竟应该衡量什么？您如何根据业务实际理解的指标来量化风险？拥有更多的工具是否真的能让我们得到更好的保护，还是只会造成更多的管理和复杂性问题？

这些只是首席信息安全官在向执行董事会提交和合理化其运营预算时必须能够回答的几个问题。

证明安全预算合理性的关键策略

通过利用对过去安全事件、威胁情报和安全漏洞潜在影响的数据的访问，企业首席信息安全官可以就有效防御潜在攻击所需的资源做出更明智的决策。

考虑以下四种数据驱动策略作为定义和向企业领导者传达网络安全价值的起点：

1：定义有意义的指标

众所周知，安全指标很难以与其他公认的业务指标和 KPI 一致的方式进行捕获和沟通。虽然对于直接产生收入的产品或服务来说，投资回报率计算起来相当简单，但在试图量化安全工具的投资回报率时，投资回报率就变得更加模糊了，这些工具主要集中在防止财务损失上。

虽然 ROI 是一个很容易被其他业务部门理解的指标，但它可能不是传达 IT 安全价值的最有意义的指标。同样，报告与检测到和阻止的攻击数量相关的指标可能听起来令人印象深刻——然而，它与企业领导者真正关心的内容无关。

最终有意义的是能够使指标与关键业务职能和优先级保持一致——因此，例如，如果组织的主要目标是减少可能的中断对其运营的影响，则可以随着时间的推移对其进行跟踪和监控。

2：量化运营风险

若要显示安全团队为组织提供的价值，需要从量化风险开始，然后演示如何通过有效的安全控制来缓解风险。通过为可接受的风险级别定义明确的阈值来确定组织对风险的容忍度，有助于确保在风险变得太大或无法管理之前及时解决任何已识别的风险。衡量和量化运营风险的其他一些实用方法可能包括：

• 概率：特定安全风险发生的可能性，可以使用历史数据以及专家意见和第三方研究（例如 Verizon 的年度数据泄露事件报告 （DBIR））来衡量。
• 影响：安全漏洞的潜在后果，包括经济损失、声誉损害和法律/合规责任。
• 控制：确定采取了哪些措施来预防、检测或最小化风险。这可能包括技术控制（如防火墙或防病毒软件）以及组织控制（如策略和过程）。

3：整合工具和供应商

在过去的十年中，企业安全团队掀起了安全工具购物的狂潮。Ponemon 的一项研究发现，典型的企业平均部署了 45 种网络安全工具来保护其网络并确保弹性。

采用新工具的主要驱动力之一是不断发展的威胁环境本身，这反过来又催生了应对特定攻击媒介的初创企业家庭手工业。这导致组织获得了各种利基点解决方案，以解决和缩小差距。在许可这几十个相互关联和重叠的工具时，不仅要考虑成本，而且管理它们也会产生辅助成本。

通过采用具有共享数据和控制平面的平台方法，首席信息安全官可以整合安全工具，简化运营，并减少传统孤岛之间的差距和漏洞。

4：优先考虑可见性

你无法有效地管理你看不见的东西。因此，必须优先投资提供广泛网络可见性的工具和流程，以了解环境中的内容以及最大风险所在。改善安全状况的其他方法：

• 无代理：这样可以更轻松地覆盖云工作负载。无需保护正确的权限，只需输入 AWS 凭证，配置 API，即可在不到一小时的时间内扫描环境。
• 端点可见性：由于大多数攻击都是从单个端点设备开始的，并为攻击者提供了提升权限的简单途径，因此可见性至关重要，尤其是在工作人员继续从远程位置登录时。

在过去的十年中，安全领导者一直在努力争取在董事会中占有一席之地。如果他们要保住这个席位，他们就需要建立一种基于经验数据的问责文化，以便他们能够沟通和合理化网络安全的全部价值。

椰有料原创，作者：小椰子啊，转载请注明出处：http://www.studioyz.com/5665.html