去年又是重大數據泄露頻發(fā)的一年，安全問題成為了每家公司管理層肯定會考慮的事項之一。

[[217216]]

安全相關的各種考慮中，最重要的或許就是到底要花多少錢才能在大范圍網絡攻擊和數據泄露時代有效保護公司數據了。

埃森哲咨詢公司發(fā)布的《2017網絡犯罪損失》

https://www.accenture.com/t20170926T072837Z__w__/us-en/_acnmedia/PDF-61/Accenture-2017-CostCyberCrimeStudy.pdf顯示，2017年網絡安全支出比上一年度增長23%。大部分支出源于網絡攻擊頻率及其所造成損失的增長，每起安全事件導致的平均損失高達100萬美元。

為避免網絡安全事件造成的破壞和損失，公司企業(yè)需建立周全而明智的安全預算，該預算需考慮到自身主要安全漏洞，又有助于強化自身防御。

本文將信息及網絡安全支出分為兩類：合規(guī)和恢復，并為公司企業(yè)奉上以這兩類支出為指引的最佳安全預算方法。

區(qū)分合規(guī)支出與恢復支出

建立安全預算的第一步，就是區(qū)分安全相關支出的兩大主要門類：合規(guī)支出與恢復支出。

1. 合規(guī)支出

是為滿足安全政策或規(guī)定而產生的預防性開支。合規(guī)支出主要與預防措施相關，比如防火墻、安全軟件投資、員工培訓項目等。

合規(guī)支出大部分都會編入預算，而公司預算中包含的合規(guī)支出數額最好來自于決策者對安全資源分配領域深思熟慮的結果。

2. 恢復支出

則是由安全問題導致的開支。恢復支出涵蓋較廣，包含了源于數據泄露或各類攻擊所致的全部開支，比如盜竊、勒索、商機喪失，還有為恢復信譽而做的公關努力。

為網絡攻擊做預算非常難，因為其所造成的損失取決于多種因素，比如攻擊的嚴重性，以及公司是否做好了網絡攻擊恢復預案。

合規(guī)與恢復相比，前者明顯更好做也更可取，因為它是有規(guī)劃的支出，而且一般比恢復要便宜些。企業(yè)安全數據交換解決方案提供商Globalscape表示，不合規(guī)的代價，或者說不遵從政策規(guī)定的后果，大大超過合規(guī)的成本。

合規(guī)開支高未必能降低恢復成本。但是，更高的合規(guī)支出可以讓公司更好地避免恢復支出。

安全預算基于審計

凡事預而后立，在往安全中投入任何資源之前，需對公司基礎設施中的全部安全終端進行審計，確定自己預算的重點都在哪里。

進行審計可以讓公司了解主要漏洞，認清安全投資應重點放在什么控制措施上。

比如說，如果你在審計中發(fā)現(xiàn)公司安全漏洞集中在糟糕的網絡管理上，比如雇員出差或在家辦公時經常不用VPN連接公司系統(tǒng)，你就可以把你的預算落在解決網絡接入的缺陷上，比如重新配置設備，只允許經由VPN或安全網絡連接公司系統(tǒng)。

安全預算要考慮安全人才短缺情況

網絡威脅態(tài)勢引出了所有公司企業(yè)在制定安全預算的時候都需要考慮的兩大安全現(xiàn)實。

第一個就是網絡安全人才短缺，或者說當前市場上合格網絡安全人才的缺乏。第二個殘酷的現(xiàn)實是，隨著網絡罪犯人數的倍增和技術的改進，公司企業(yè)遭受網絡攻擊的可能性也大大增加了。

因為缺乏確切的解決方案，這兩個問題目前都相當嚴峻。網絡安全人才短缺的核心問題在于有能力的網絡安全雇員供小于求，誰都不能憑空造出大量人才來填補該領域的人才短缺。

而且，網絡罪犯的擴張也沒有多少阻力，尤其是在當今全球聯(lián)網的世界，很多攻擊都是在受害公司或組織的監(jiān)管范圍之外發(fā)起的。

這兩大威脅還相互促進：網絡安全人才短缺增加了公司遭到網絡攻擊的幾率。信息系統(tǒng)安全聯(lián)盟(ISSA)的研究表明，缺乏足夠的網絡人才，事實上給約20%的公司招致了網絡攻擊。另外，網絡安全人才缺口在安全分析領域尤其大，這使得公司企業(yè)更加難以確定自身脆弱領域，不能有效標定其安全投資。

基于此，公司企業(yè)應將網絡安全人才短缺納入安全預算考慮之中。如果不知道怎樣合理制定安全預算，可以求助網絡安全公司和安全顧問等外部資源。雖然這些資源也是要花錢雇的，但在專業(yè)安全分析上的初始投資，最終將為你省去遭遇網絡攻擊的大筆恢復支出。

明智的預算催生健壯的網絡安全策略

被大型網絡安全事件屢屢驚嚇的一年過后，安全預算應成為公司企業(yè)2018重大事項之一。為周全應對未來一年可能遭遇的安全威脅，公司企業(yè)需要制定明智的安全預算。

恰當的安全預算來自于公司對安全相關的兩大主要開支的考慮：合規(guī)支出與恢復支出。

想要有效規(guī)劃合規(guī)支出，公司需了解當前網絡威脅態(tài)勢的嚴重性，可進行審計以發(fā)現(xiàn)公司最大安全漏洞，并將安全預算導引向補強這些短板上。

此外，公司還需對恢復支出采取務實的方法和預算。網絡攻擊越普遍，公司企業(yè)最終淪為受害者的可能性越高。建立恢復預算以應對數據泄露或網絡攻擊事件是必要的，這為遭到攻擊的情況預留資源可以減小公司所受的沖擊。

建立明智的預算可以令公司企業(yè)制定出健壯的網絡安全策略。而強大的策略來自明智的安全投資控制和訓練有素的員工基礎。

安全預算設計得越好，公司就越安全，越能應對面臨的網絡安全威脅。