在過去十年中，IT安全預(yù)算一直被認為是預(yù)算中不可或缺的，由于重大數(shù)據(jù)泄露所帶來的生存威脅，IT安全預(yù)算在很大程度上沒有受到其他部門削減的影響。

然而，對即將到來的全球經(jīng)濟衰退的恐懼和不確定性，正迫使商界領(lǐng)袖認真審查其運營預(yù)算中的每一個條目，企業(yè)的CISO不能再假定他們的預(yù)算將不受成本削減措施的影響，相反，他們必須準(zhǔn)備回答有關(guān)其安全計劃的總體成本效益的尖銳問題。

換句話說，雖然企業(yè)明白需要投資于強大的安全工具和專業(yè)從業(yè)者，但現(xiàn)在的問題是，多少資金才夠?如何調(diào)整他們的安全支出，以保持可接受的風(fēng)險暴露水平?

如果安全領(lǐng)導(dǎo)者想要在未來幾年有機會捍衛(wèi)或增加他們的預(yù)算，他們將需要用經(jīng)驗數(shù)據(jù)武裝自己，并能夠向那些掌握企業(yè)資金的人清楚地傳達他們安全投資的商業(yè)價值。

量化安全演算

二十多年前，著名的科技專家Bruce Schneier創(chuàng)造了“安全劇場”這個詞，用來描述這樣一種做法，即實施安全措施，讓人感覺安全程度提高了，但實際上卻沒有做什么。

如今，許多執(zhí)行董事會開始懷疑，所有這些安全工具和系統(tǒng)的積累是否正在帶來與他們的投資相稱的經(jīng)濟效益——或者這僅僅是一種歌舞伎劇場，旨在讓他們感覺到他們寶貴的企業(yè)資產(chǎn)得到了充分的保護。

CISO同樣面臨這樣一個挑戰(zhàn)，即沒有衡量信息安全有效性的標(biāo)準(zhǔn)化辦法，安全領(lǐng)導(dǎo)人到底應(yīng)該衡量什么?你如何根據(jù)業(yè)務(wù)實際理解的指標(biāo)來量化風(fēng)險?擁有更多的工具真的會讓我們受到更好的保護嗎?還是只會造成更多的管理和復(fù)雜性問題?

這些只是CISO在提出業(yè)務(wù)預(yù)算并使其合理化時必須能夠回答的幾個問題。

調(diào)整你的安全預(yù)算的關(guān)鍵策略

通過利用對過去安全事件、威脅情報和安全漏洞潛在影響的數(shù)據(jù)的訪問，企業(yè)的CISO可以就有效防御潛在攻擊所需的資源做出更明智的決策。

將這四種數(shù)據(jù)驅(qū)動的戰(zhàn)略作為定義網(wǎng)絡(luò)安全價值并向企業(yè)領(lǐng)導(dǎo)人進行溝通的起點：

1.定義有意義的指標(biāo)

眾所周知，安全指標(biāo)很難捕獲并以與其他公認的業(yè)務(wù)指標(biāo)和KPI一致的方式進行通信。雖然計算直接產(chǎn)生收入的產(chǎn)品或服務(wù)的ROI相當(dāng)簡單，但在試圖量化安全工具的ROI時就變得更加模糊了，因為安全工具主要專注于防止財務(wù)損失。

雖然ROI是一個很容易被業(yè)務(wù)其余部分理解的指標(biāo)，但傳達IT安全的價值可能并不是最有意義的，同樣，報告與檢測到并阻止的攻擊數(shù)量相關(guān)的指標(biāo)聽起來可能令人印象深刻——然而，它與企業(yè)領(lǐng)導(dǎo)人實際關(guān)心的事情脫節(jié)。

最終有意義的是能夠使指標(biāo)與關(guān)鍵業(yè)務(wù)功能和優(yōu)先級保持一致，例如，如果企業(yè)的主要目標(biāo)是減少可能的中斷對其運營的影響，則可以隨著時間的推移跟蹤和監(jiān)控這一點。

2.量化風(fēng)險

要顯示安全團隊為企業(yè)提供的價值，你需要首先量化風(fēng)險，然后演示如何通過有效的安全控制來降低風(fēng)險。通過為可接受的風(fēng)險水平定義明確的閾值來確定企業(yè)對風(fēng)險的容忍度，有助于確保任何已識別的風(fēng)險在變得太大或無法管理之前得到及時解決。衡量和量化風(fēng)險的其他一些實際方法可能包括：

概率：發(fā)生特定安全風(fēng)險的可能性，可以使用歷史數(shù)據(jù)以及專家意見和第三方研究來衡量。

影響：安全漏洞的潛在后果，包括財務(wù)損失、聲譽損害和法律/合規(guī)責(zé)任。

控制：確定采取了哪些措施來預(yù)防、檢測或?qū)L(fēng)險降至最低，這可以包括技術(shù)控制(如防火墻或防病毒軟件)以及組織控制(如政策和程序)。

3.整合工具和供應(yīng)商

在過去的十年里，企業(yè)安全團隊掀起了一場安全工具的采購狂潮。Ponemon的一項研究發(fā)現(xiàn)，典型的企業(yè)平均部署了45個網(wǎng)絡(luò)安全工具來保護他們的網(wǎng)絡(luò)并確保彈性。

采用新工具的主要驅(qū)動力之一是不斷演變的威脅格局本身，這反過來又催生了針對特定攻擊媒介的初創(chuàng)企業(yè)的家庭手工業(yè)，這導(dǎo)致企業(yè)獲得了各種各樣的利基點式解決方案，以彌補和縮小差距。在許可這幾十個相互關(guān)聯(lián)和重疊的工具時，不僅需要考慮成本，而且管理這些工具還需要額外的成本。

通過采用具有共享數(shù)據(jù)和控制平面的平臺方法，CISO可以整合安全工具、簡化操作并減少舊式豎井之間的差距和漏洞。

4.確定可見性的優(yōu)先順序

你不能有效地管理那些你看不見的東西，這就是為什么必須優(yōu)先投資于提供廣泛網(wǎng)絡(luò)可見性的工具和流程，以了解環(huán)境中的內(nèi)容以及最大的風(fēng)險所在。改善安全狀況的其他方法：

實現(xiàn)無代理：這可以更輕松地覆蓋云工作負載，不需要確保正確的權(quán)限，只需輸入AWS憑據(jù)，配置API，就可以在不到一小時的時間內(nèi)掃描環(huán)境。

終端可見性：由于大多數(shù)攻擊都是從單個終端設(shè)備開始的，并為攻擊者提供了提升權(quán)限的簡單途徑，因此可見性至關(guān)重要，尤其是在員工不斷從遠程位置登錄的情況下。

在過去的十年里，安全領(lǐng)導(dǎo)人一直在努力爭取在董事會中獲得一席之地，如果他們要保住這個席位，他們將需要建立一種基于經(jīng)驗數(shù)據(jù)的問責(zé)文化，以便他們能夠溝通并使網(wǎng)絡(luò)安全的全部價值合理化。