關(guān)于安全違規(guī)成本的文章有很多。并且隨著隱私法規(guī)的發(fā)布，我們根據(jù)企業(yè)的盈利或?qū)γ總€(gè)攻擊記錄的價(jià)值進(jìn)行計(jì)算，就可以計(jì)算出安全違規(guī)的成本。然而，這些硬數(shù)據(jù)似乎還不夠詳細(xì)，以至于無法使許多安全專業(yè)人員信服。

許多網(wǎng)絡(luò)安全專業(yè)人員的推測都進(jìn)行了一個(gè)不必要的轉(zhuǎn)變，即從最初的可量化到如今不正確的概念。特別是，每當(dāng)談及數(shù)據(jù)泄漏成本時(shí)，名譽(yù)受損的話題總不免被提起。然而，許多c級的高管都將其視為聳人聽聞的策略、邊緣政策、空洞的威脅，或者說這本就是理所應(yīng)當(dāng)?shù)?。沒有什么能夠比無法估量的威脅更能轉(zhuǎn)移人們對重要消息的注意力。

縱觀歷史，發(fā)生過的許多災(zāi)難都比隱私信息泄漏要更加嚴(yán)重，另一方面，也出現(xiàn)過一些幾乎不受其影響的比較負(fù)責(zé)任的公司。而那些由于失誤甚至造成人員傷亡的公司，如今也依然在蓬勃發(fā)展。在這里沒有必要指明具體的名字和事件，因?yàn)檫@對我們來說都再熟悉不過了。同時(shí)，從純粹的網(wǎng)絡(luò)安全角度來看，即便那些代價(jià)最高的攻擊，持續(xù)成功也都是顯而易見的。

關(guān)鍵是，公司的名譽(yù)將會受到市場因素的影響，例如其償付能力以及以往的聲譽(yù)。當(dāng)我們作為安全專業(yè)人員進(jìn)行煽動(dòng)性和危言聳聽的猜測時(shí)，我們也就淡化了自己易掌握信息的重要性。諷刺的是，我們所損害的往往可能是我們自己的聲譽(yù)。

人們經(jīng)常說，安全專業(yè)人員不懂“業(yè)務(wù)語言”。這一直很令人費(fèi)解，因?yàn)樗鼘τ诩兗夹g(shù)人員來說并沒有意義。然而，在闡明安全方案的重要性時(shí)，安全人員應(yīng)該掌握一些簡單的步驟，以從業(yè)務(wù)的角度來展現(xiàn)風(fēng)險(xiǎn)的嚴(yán)重性。

了解業(yè)務(wù)

心理學(xué)家的原則是“在客戶的所在地與之會面”。這意味著，為了真正了解客戶，我們必須站在他們的角度來考慮其存在的問題。商業(yè)上也是如此。對于大多數(shù)企業(yè)來說安全并不是首要目標(biāo)。最重要的目的往往是賺取足夠的錢來維持企業(yè)的運(yùn)轉(zhuǎn)。你的生意是如何取得成功的呢？當(dāng)試圖獲取資金或安全方案時(shí)，進(jìn)行投資回報(bào)計(jì)算（ROI)是非常必要的。

在許多安全項(xiàng)目中，實(shí)現(xiàn)準(zhǔn)確的ROI計(jì)算是非常困難的。組織往往無法預(yù)測自己需要預(yù)防確切攻擊的數(shù)量。然而，當(dāng)涉及到違規(guī)成本計(jì)算時(shí)，事情就變得比較容易了，但同時(shí)也仍需要花費(fèi)一定的精力。

了解數(shù)據(jù)

金融公司的記錄與非營利組織或醫(yī)療機(jī)構(gòu)的記錄有很大的不同。在某些情況下，記錄可能存儲在完整性狀態(tài)不同在的多個(gè)系統(tǒng)中。為了數(shù)據(jù)的值進(jìn)行量化，組織必須對所有數(shù)據(jù)的所在地以及其所包含的內(nèi)容進(jìn)行清點(diǎn)。

在某些情況下，一個(gè)系統(tǒng)所包含信息有限，因此一旦其遭到破壞，那么這些記錄都將變得毫無價(jià)值。在其他情況下，系統(tǒng)中可能包含著如個(gè)人身份信息(PII)等有價(jià)值的數(shù)據(jù)，而衛(wèi)生保健系統(tǒng)，則包含著有價(jià)值的醫(yī)療數(shù)據(jù)。數(shù)據(jù)分類可以為該數(shù)據(jù)的優(yōu)先級進(jìn)行賦值，但為了更好地向董事會提出安全預(yù)算的案例，我們就必須為該數(shù)據(jù)分配真正的貨幣層次上的價(jià)值。這可以根據(jù)現(xiàn)有媒體報(bào)道和行業(yè)報(bào)告中的許多基準(zhǔn)來實(shí)現(xiàn)。

了解電子表格

來自其他安全漏洞的比較信息應(yīng)與業(yè)務(wù)相關(guān)的監(jiān)管制裁一起提交。例如，如果企業(yè)遵守GDPR，那么處罰將與該組織的年度利潤有關(guān)。如果業(yè)務(wù)受到CCPA的約束，那么將涉及對每次違規(guī)的處罰。如果組織同時(shí)受到多個(gè)規(guī)則的限制，那么這些都應(yīng)該包括在內(nèi)。當(dāng)為系統(tǒng)收集這些相關(guān)數(shù)據(jù)，以及潛在記錄的數(shù)量時(shí)，一個(gè)清晰的商業(yè)圖景就逐漸顯現(xiàn)出來了。例如，一個(gè)具有全球影響力的組織可以用以下方式來表示：

從簡單移動(dòng)到復(fù)雜移動(dòng)

在演示數(shù)據(jù)價(jià)值時(shí)，最好先從價(jià)值小的記錄開始演示，然后逐漸過渡到價(jià)值大的記錄，這樣可以展現(xiàn)出違規(guī)成本不斷增加的趨勢。在傳遞信息的同時(shí)，可以衡量一下整體的注意力情況，并在觀眾可接受的范圍內(nèi)調(diào)整演示內(nèi)容。同時(shí)，還應(yīng)該強(qiáng)調(diào)，首次攻擊不會受到 處罰。相反，對此的懲罰是根據(jù)其影響因素來進(jìn)行評估的（比如重復(fù)冒犯）。需要記住的是，這里的重點(diǎn)是要傳達(dá)業(yè)務(wù)信息，而并非是要散布恐懼或威脅。

擴(kuò)展到外設(shè)安全方案

即使組織已經(jīng)正確地完成了所有事項(xiàng)，但其仍然有可能會存在一些缺陷需要進(jìn)一步改進(jìn)。例如，盡管所有敏感數(shù)據(jù)均已被加密，但組織卻無法完全控制其所有加密密鑰，那么這個(gè)時(shí)候組織就需要建立一個(gè)密鑰管理平臺?；蛘?，倘若組織在不斷追蹤配置漂移，那么就很有必要去購買一個(gè)配置管理系統(tǒng)。

遵守這些指標(biāo)，避免產(chǎn)生轟動(dòng)效應(yīng)

如今，人們能夠比以往任何時(shí)候都更有能力，去準(zhǔn)確地追蹤安全指標(biāo)。追蹤所有的數(shù)據(jù)，然后將之與其真正的價(jià)值聯(lián)系起來，這需要花費(fèi)大量的精力。這是因?yàn)樗c組織具體的業(yè)務(wù)相關(guān)聯(lián)。但最終，比起對聲譽(yù)受損進(jìn)行空洞的預(yù)測，它將獲得更多的支持。同時(shí)，這些指標(biāo)本身就很顯著。感覺主義對我們的服務(wù)來說，并無多大益處。

點(diǎn)評

企業(yè)通常很難估量網(wǎng)絡(luò)威脅所能帶來的具體損失，但卻可以根據(jù)一定的指標(biāo)來估算出網(wǎng)絡(luò)安全違規(guī)的成本。因而，安全的違規(guī)成本往往反應(yīng)了相關(guān)安全威脅的嚴(yán)重性。反之亦然，安全威脅的嚴(yán)重程度越大，企業(yè)需付的相關(guān)成本也就越高。

準(zhǔn)確有效地向組織各層級展現(xiàn)威脅的重要程度，可以幫助組織識別優(yōu)先事項(xiàng)，將有限的財(cái)力與精力用在“刀刃”上，從而更好地實(shí)現(xiàn)成本效益最大化。其中最關(guān)鍵的是，對于不同的組織，威脅所影響的業(yè)務(wù)，以及業(yè)務(wù)的具體價(jià)值都會受到不同因素的影響。

因此，安全人員需要從實(shí)際出發(fā)，結(jié)合具體影響要素來向闡明不同威脅對業(yè)務(wù)的影響程度，即嚴(yán)重性。