關于安全違規(guī)成本的文章有很多。并且隨著隱私法規(guī)的發(fā)布，我們根據(jù)企業(yè)的盈利或對每個攻擊記錄的價值進行計算，就可以計算出安全違規(guī)的成本。然而，這些硬數(shù)據(jù)似乎還不夠詳細，以至于無法使許多安全專業(yè)人員信服。

許多網(wǎng)絡安全專業(yè)人員的推測都進行了一個不必要的轉變，即從最初的可量化到如今不正確的概念。特別是，每當談及數(shù)據(jù)泄漏成本時，名譽受損的話題總不免被提起。然而，許多c級的高管都將其視為聳人聽聞的策略、邊緣政策、空洞的威脅，或者說這本就是理所應當?shù)?。沒有什么能夠比無法估量的威脅更能轉移人們對重要消息的注意力。

縱觀歷史，發(fā)生過的許多災難都比隱私信息泄漏要更加嚴重，另一方面，也出現(xiàn)過一些幾乎不受其影響的比較負責任的公司。而那些由于失誤甚至造成人員傷亡的公司，如今也依然在蓬勃發(fā)展。在這里沒有必要指明具體的名字和事件，因為這對我們來說都再熟悉不過了。同時，從純粹的網(wǎng)絡安全角度來看，即便那些代價最高的攻擊，持續(xù)成功也都是顯而易見的。

關鍵是，公司的名譽將會受到市場因素的影響，例如其償付能力以及以往的聲譽。當我們作為安全專業(yè)人員進行煽動性和危言聳聽的猜測時，我們也就淡化了自己易掌握信息的重要性。諷刺的是，我們所損害的往往可能是我們自己的聲譽。

人們經(jīng)常說，安全專業(yè)人員不懂“業(yè)務語言”。這一直很令人費解，因為它對于純技術人員來說并沒有意義。然而，在闡明安全方案的重要性時，安全人員應該掌握一些簡單的步驟，以從業(yè)務的角度來展現(xiàn)風險的嚴重性。

了解業(yè)務

心理學家的原則是“在客戶的所在地與之會面”。這意味著，為了真正了解客戶，我們必須站在他們的角度來考慮其存在的問題。商業(yè)上也是如此。對于大多數(shù)企業(yè)來說安全并不是首要目標。最重要的目的往往是賺取足夠的錢來維持企業(yè)的運轉。你的生意是如何取得成功的呢？當試圖獲取資金或安全方案時，進行投資回報計算（ROI)是非常必要的。

在許多安全項目中，實現(xiàn)準確的ROI計算是非常困難的。組織往往無法預測自己需要預防確切攻擊的數(shù)量。然而，當涉及到違規(guī)成本計算時，事情就變得比較容易了，但同時也仍需要花費一定的精力。

了解數(shù)據(jù)

金融公司的記錄與非營利組織或醫(yī)療機構的記錄有很大的不同。在某些情況下，記錄可能存儲在完整性狀態(tài)不同在的多個系統(tǒng)中。為了數(shù)據(jù)的值進行量化，組織必須對所有數(shù)據(jù)的所在地以及其所包含的內(nèi)容進行清點。

在某些情況下，一個系統(tǒng)所包含信息有限，因此一旦其遭到破壞，那么這些記錄都將變得毫無價值。在其他情況下，系統(tǒng)中可能包含著如個人身份信息(PII)等有價值的數(shù)據(jù)，而衛(wèi)生保健系統(tǒng)，則包含著有價值的醫(yī)療數(shù)據(jù)。數(shù)據(jù)分類可以為該數(shù)據(jù)的優(yōu)先級進行賦值，但為了更好地向董事會提出安全預算的案例，我們就必須為該數(shù)據(jù)分配真正的貨幣層次上的價值。這可以根據(jù)現(xiàn)有媒體報道和行業(yè)報告中的許多基準來實現(xiàn)。

了解電子表格

來自其他安全漏洞的比較信息應與業(yè)務相關的監(jiān)管制裁一起提交。例如，如果企業(yè)遵守GDPR，那么處罰將與該組織的年度利潤有關。如果業(yè)務受到CCPA的約束，那么將涉及對每次違規(guī)的處罰。如果組織同時受到多個規(guī)則的限制，那么這些都應該包括在內(nèi)。當為系統(tǒng)收集這些相關數(shù)據(jù)，以及潛在記錄的數(shù)量時，一個清晰的商業(yè)圖景就逐漸顯現(xiàn)出來了。例如，一個具有全球影響力的組織可以用以下方式來表示：

從簡單移動到復雜移動

在演示數(shù)據(jù)價值時，最好先從價值小的記錄開始演示，然后逐漸過渡到價值大的記錄，這樣可以展現(xiàn)出違規(guī)成本不斷增加的趨勢。在傳遞信息的同時，可以衡量一下整體的注意力情況，并在觀眾可接受的范圍內(nèi)調(diào)整演示內(nèi)容。同時，還應該強調(diào)，首次攻擊不會受到 處罰。相反，對此的懲罰是根據(jù)其影響因素來進行評估的（比如重復冒犯）。需要記住的是，這里的重點是要傳達業(yè)務信息，而并非是要散布恐懼或威脅。

擴展到外設安全方案

即使組織已經(jīng)正確地完成了所有事項，但其仍然有可能會存在一些缺陷需要進一步改進。例如，盡管所有敏感數(shù)據(jù)均已被加密，但組織卻無法完全控制其所有加密密鑰，那么這個時候組織就需要建立一個密鑰管理平臺。或者，倘若組織在不斷追蹤配置漂移，那么就很有必要去購買一個配置管理系統(tǒng)。

遵守這些指標，避免產(chǎn)生轟動效應

如今，人們能夠比以往任何時候都更有能力，去準確地追蹤安全指標。追蹤所有的數(shù)據(jù)，然后將之與其真正的價值聯(lián)系起來，這需要花費大量的精力。這是因為它與組織具體的業(yè)務相關聯(lián)。但最終，比起對聲譽受損進行空洞的預測，它將獲得更多的支持。同時，這些指標本身就很顯著。感覺主義對我們的服務來說，并無多大益處。

點評

企業(yè)通常很難估量網(wǎng)絡威脅所能帶來的具體損失，但卻可以根據(jù)一定的指標來估算出網(wǎng)絡安全違規(guī)的成本。因而，安全的違規(guī)成本往往反應了相關安全威脅的嚴重性。反之亦然，安全威脅的嚴重程度越大，企業(yè)需付的相關成本也就越高。

準確有效地向組織各層級展現(xiàn)威脅的重要程度，可以幫助組織識別優(yōu)先事項，將有限的財力與精力用在“刀刃”上，從而更好地實現(xiàn)成本效益最大化。其中最關鍵的是，對于不同的組織，威脅所影響的業(yè)務，以及業(yè)務的具體價值都會受到不同因素的影響。

因此，安全人員需要從實際出發(fā)，結合具體影響要素來向闡明不同威脅對業(yè)務的影響程度，即嚴重性。