您是否在网络安全方面花费太多(或太少)?

确定合适的网络安全支出水平在理论上很容易,但在实践中并不容易。

  确定数据中心在网络安全方面的支出是否足够,理论上很容易,但实际上并不容易。

网络安全支出

  首先,您确定您的风险偏好。其次,您可以确定网络安全事件对您的关键资产和系统的潜在影响。第三,确定这些资产的漏洞。

  将潜在的影响乘以脆弱性的程度,即可获得总风险。如果总风险高于您的承受能力,您就需要加强网络安全。

  公司的可承受风险水平取决于其规模、行业和市场定位。

  “您的目标是追踪竞争对手的支出,或以更安全的方式提供更优质的服务而闻名?” 总部位于丹佛的网络安全公司ProtectWise的首席产品官雷蒙•佩珀奇问道。“如果您采用的方法是提供最安全的数据中心操作,而不是所有高调漏洞的一部分,那么您可以将安全性作为业务的驱动因素。”

  总部位于亚利桑那州坦佩市的技术咨询公司Insight的云和网络安全高级经理迈克·斯普伦格表示,平均而言,公司倾向于将大约十分之一的IT预算用于网络安全。他说,高风险的业务,如银行,将花费更多。

  了解影响

  斯普伦格说,问题在于负责安全的人员往往侧重于全面的技术计划,而不是考虑对个别系统的潜在影响。结果,他们最终在非关键系统上花费了太多时间、精力和金钱,而对最重要的系统则投入不足。

  他说:“在某种程度上保护对组织来说很重要,这是一个众所周知的概念。”在实践中,很少有公司能做到这一点。

  斯普伦格说:“如果安全管理员无法区分需要保护的不同资产?那你可能花太多钱了。”

  该风险评估需要定期进行。

  “这是了解任何特定时间点风险的唯一途径。”他说。“那么你应该坚持制定路线图来解决这些风险,使其恢复到符合组织风险承受能力的程度。”

  比如说,一个特定的网络安全问题会产生合规性影响,每月罚款2000美元,但修复费用需要50万美元。“那你整天都要支付罚款。”他说,“你可以支付10年的罚款,然后才能接近你必须在这项技术上进行的投资。”

  衡量漏洞

  今天没有精确的方法来衡量特定组织或个人系统对网络安全攻击的脆弱程度。

  但专家表示,有一些方法可以获得合理的估算并随着时间的推移逐步完善。

  与许多其他业务领域一样,网络安全中的风险也是复杂且不可预测的。公司想方设法分析各种风险,否则他们只会盲目操作。

  衡量网络攻击成功的可能性通常从应用行业指南、最佳实践和安全框架开始,以确定漏洞区域。

  渗透测试可以帮助确定黑客入侵特定系统的容易程度。

  第三方风险评估公司也可以提供帮助,类似于信用机构计算个人信用评级的方式。

  例如,FICO提供网络风险评分工具。该公司最近与美国商会就第一次国家网络安全评估进行了合作。

  分数从300到850,就像传统的信用评分一样,与组织的规模和网络的复杂性相关联。例如,建筑公司的平均得分为764,而电信公司的得分为619。

  了解公司的整体漏洞,与同行的比较以及它如何随时间变化,可以帮助弄清楚用于网络安全的资金是否会产生影响。


相关推荐

谈谈大数据及大数据的价值

谈谈大数据及大数据的价值

腾讯云举办韩国服务说明会,全面剖析游戏全球化解决方案

腾讯云举办韩国服务说明会,全面剖析游戏全球化解决方案

安全狗云主机安全平台“云眼”中标国家地质局

安全狗云主机安全平台“云眼”中标国家地质局

关于基于云计算安全性的5个误区

关于基于云计算安全性的5个误区

中国电信IPv6的改造进展良好 骨干网全面支持并开启IPv6

中国电信IPv6的改造进展良好 骨干网全面支持并开启IPv6

中国移动正积极推进网络、应用、终端全面向IPv6迁移

中国移动正积极推进网络、应用、终端全面向IPv6迁移