對于網(wǎng)絡(luò)攻擊，防患于未然總比攻擊發(fā)生后修復(fù)損失的成本低得多。盡管如此，很多企業(yè)在編制網(wǎng)絡(luò)安全預(yù)算時仍存在重大遺漏，會使企業(yè)很容易遭受重大財務(wù)損失。

每一家企業(yè)，無論規(guī)模多大，關(guān)注的重點是什么，都應(yīng)制定合理、準(zhǔn)確的網(wǎng)絡(luò)安全預(yù)算。佐治亞州肯尼索州立大學(xué)信息安全與保障學(xué)教授Humayun Zafar評論說：“只有做好預(yù)算，我們所有的一切才具有現(xiàn)實和實際意義。”

[[383343]]

Zafar指出，盡管企業(yè)盡最大努力去保護系統(tǒng)和資源，但網(wǎng)絡(luò)安全事件仍在快速增長。他警告說：“預(yù)算的增長遠(yuǎn)遠(yuǎn)趕不上這些威脅發(fā)生的速度，更別說發(fā)展了。”因此，企業(yè)在投資網(wǎng)絡(luò)安全時必須要明智。Zafar說：“不可能一切都得到保障，所以優(yōu)先次序是關(guān)鍵。”

本文介紹了規(guī)劃人員經(jīng)常忽視或者未能切實解決的7個關(guān)鍵網(wǎng)絡(luò)安全預(yù)算項目。

1. 員工招聘和留任

很多企業(yè)無視長期趨勢，一直低估招聘和保留熟練的網(wǎng)絡(luò)安全專業(yè)人員的成本。商業(yè)咨詢公司EY Consulting的網(wǎng)絡(luò)安全負(fù)責(zé)人Carolyn Schreiber指出：“在過去幾年里，合格的專業(yè)人士與成倍增長的工作崗位之間的差距一直在穩(wěn)步擴大。簡單地說，競爭依然激烈，人才爭奪戰(zhàn)仍在繼續(xù)。”結(jié)果，很多企業(yè)發(fā)現(xiàn)，在招聘和留住合格的網(wǎng)絡(luò)安全專業(yè)人員時，他們的招聘預(yù)算嚴(yán)重超支了。

商業(yè)咨詢公司德勤風(fēng)險與金融咨詢公司的美國網(wǎng)絡(luò)和戰(zhàn)略風(fēng)險負(fù)責(zé)人Deborah Golden指出，早在疫情之前，網(wǎng)絡(luò)安全人才就一直短缺。她敦促說：“如果你的企業(yè)能夠招聘到有技能的網(wǎng)絡(luò)人才——即便打算讓這些人一直保持遠(yuǎn)程工作狀態(tài)，也要把他們招進來。”

2. 云開支

SAP國家安全服務(wù)公司首席信息安全官Ted Wagner表示，與網(wǎng)絡(luò)安全相關(guān)的云支出往往被低估或者管理不善。他認(rèn)為：“通常情況下，云支出并不是集中的，一家企業(yè)中的很多部門在沒有適當(dāng)控制的情況下就開始在云環(huán)境中進行測試或者開發(fā)。”在云服務(wù)上的過度花費可能會使原本被認(rèn)為是成本低廉、甚至可能節(jié)省預(yù)算的項目演變成嚴(yán)重拖累財務(wù)資源的項目。

云預(yù)算應(yīng)反映實際的定價，同時預(yù)測出各個業(yè)務(wù)部門試用和測試基于云安全工具的額外成本。Wagner警告說：“在一家大型企業(yè)中，這些逐漸增加的成本會很快累積起來。”

3. 第三方建議和分析

企業(yè)往往忽視了第三方漏洞測試的預(yù)算，以及聘請顧問就潛在網(wǎng)絡(luò)威脅向管理者和員工提供建議的預(yù)算。國際律師事務(wù)所Reed Smith的網(wǎng)絡(luò)安全合伙人Sarah Bruno律師建議：“在這方面有較大的預(yù)算是件好事，這樣就可以從多家公司那里獲得非常全面的建議。”

一家企業(yè)可能會拒絕為多項外部深度分析支付額外費用，因為它對其當(dāng)前的網(wǎng)絡(luò)安全環(huán)境完全有信心，或者因為它每年以固定的預(yù)算與同一位安全顧問合作。然而，這種想法通常是短視的。Bruno說：“最好是從不同的安全公司獲得信息，特別是對于更敏感的數(shù)據(jù)，這有助于發(fā)現(xiàn)新的威脅，并確保企業(yè)有適當(dāng)?shù)募夹g(shù)、管理和物理保護措施到位。”

4. 事件響應(yīng)

網(wǎng)絡(luò)安全審計和測試公司Kirkpatrick Price的Joseph Kirkpatrick說，事件響應(yīng)(IR，Incident Response)通常是被忽視的網(wǎng)絡(luò)安全需求，在預(yù)算方面尤其如此。他指出，當(dāng)一家企業(yè)因數(shù)據(jù)泄露而受害時，精心策劃的IR策略可以使企業(yè)免于可能出現(xiàn)的災(zāi)難性財務(wù)損失。Kirkpatrick建議說：“花時間招聘并培訓(xùn)一個負(fù)責(zé)IR的團隊是會有回報的。”

管理公司博思艾倫漢密爾頓(Booz Allen Hamilton)負(fù)責(zé)網(wǎng)絡(luò)安全戰(zhàn)略的副總裁Rudy Bakalov認(rèn)為，盡管存在固有的風(fēng)險，但企業(yè)仍然無法對IR費用進行比較實際的預(yù)算。他指出：“盡管媒體上有大量企業(yè)(大都有成熟的安全程序)被攻破的例子，仍然很難想象為什么企業(yè)沒有為間接成本制訂更好的計劃，比如保持/加強IR能力。也許他們認(rèn)為自己的企業(yè)太大或者太小，不可能成為攻擊目標(biāo)，或者他們在賭這種事不會發(fā)生在自己身上。”

博思艾倫漢密爾頓公司商業(yè)網(wǎng)絡(luò)業(yè)務(wù)的負(fù)責(zé)人Christopher Smith補充說，未能解決IR等間接網(wǎng)絡(luò)安全成本的后果，并不亞于沒有充分考慮直接成本，尤其是在IR領(lǐng)域。沒有IR服務(wù)預(yù)算，可能導(dǎo)致勒索軟件等事件被不必要的拖延，從而造成更大的業(yè)務(wù)中斷、客戶流失和聲譽受損。”

5. 替換成本

在判斷潛在易受攻擊資產(chǎn)的替換成本時，對于哪些系統(tǒng)可能會受到泄露事件或者惡意軟件的影響，很多企業(yè)的觀點是非常短視的，他們僅僅是替換最易受攻擊的系統(tǒng)。Zafar說：“從成本的角度來看，這導(dǎo)致的損失遠(yuǎn)遠(yuǎn)超過了一家企業(yè)的任何預(yù)期。嚴(yán)重程度將取決于網(wǎng)絡(luò)安全泄露事件涉及的范圍。”

最近轉(zhuǎn)向在家工作增加了替換成本負(fù)擔(dān)，使得疫情前的估計付諸東流。忽視對脆弱的家庭系統(tǒng)的替換或者升級會招致災(zāi)難。Zafar警告說：“如果家庭系統(tǒng)受到影響，這些系統(tǒng)可能會無意中在企業(yè)網(wǎng)絡(luò)中重新造成漏洞——即使企業(yè)最終已經(jīng)解決了這些問題。”

6. 網(wǎng)絡(luò)安全培訓(xùn)

很多最嚴(yán)重的網(wǎng)絡(luò)安全風(fēng)險源自內(nèi)部。Miller Canfield律師事務(wù)所網(wǎng)絡(luò)安全和數(shù)據(jù)隱私業(yè)務(wù)的律師Jacob Koering說：“很多公司都承認(rèn)員工的行為是風(fēng)險的主要來源。”他補充道：“然而，這些公司嚴(yán)重缺乏資金，甚至忽視了員工培訓(xùn)和內(nèi)部威脅需求。”

Koering說，一項運行良好的網(wǎng)絡(luò)安全計劃可以確保員工意識到他們的網(wǎng)絡(luò)安全義務(wù)，并通過內(nèi)部監(jiān)控加強這種意識，以確保惡意行為人能被迅速發(fā)現(xiàn)并抓獲。

7. 網(wǎng)絡(luò)保險

很多企業(yè)還沒有意識到網(wǎng)絡(luò)保險的必要性——這方面的疏忽可能帶來可怕的財務(wù)后果。北卡羅來納大學(xué)格林斯博羅分校管理系教授Nir Kshetri經(jīng)常就安全和加密貨幣問題撰寫文章，發(fā)表評論，他說：“具有諷刺意味的是，盡管網(wǎng)絡(luò)威脅在不斷增加，很多公司卻沒有為網(wǎng)絡(luò)保險做預(yù)算。”他指出：“截至2020年，美國只有不到20%的小企業(yè)購買了網(wǎng)絡(luò)保險。”

Kshetri警告說，沒有網(wǎng)絡(luò)保險，企業(yè)可能無法保護自己免受與網(wǎng)絡(luò)攻擊相關(guān)的重大損失。除了保護企業(yè)免受潛在的毀滅性財務(wù)打擊外，簡單地申請網(wǎng)絡(luò)保險就能帶來更強大的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施。他說：“網(wǎng)絡(luò)保險以美元價值表示網(wǎng)絡(luò)風(fēng)險。因此，網(wǎng)絡(luò)保險承保流程可以幫助企業(yè)發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞，有機會進行改進。”