展示安全投入的投資回報(bào)率(ROI)往往很困難。通常，人們引用數(shù)據(jù)泄露的成本來(lái)證明在技術(shù)、人員或服務(wù)上的支出合理性，然而，這并不總能為預(yù)算提供最好的商業(yè)理由，CISM和CIPP/E認(rèn)證專(zhuān)家Andy Collins指出。

在日益嚴(yán)峻且多樣化的網(wǎng)絡(luò)安全威脅面前，確保每一分錢(qián)的安全預(yù)算都得到有效利用至關(guān)重要。比如，SonicWall發(fā)布的《2024年年中網(wǎng)絡(luò)威脅報(bào)告》顯示，僅在去年，惡意軟件攻擊達(dá)到了55億次，勒索軟件攻擊為4.933億次，入侵嘗試高達(dá)6.3萬(wàn)億次，而根據(jù)Sophos的數(shù)據(jù)，勒索軟件的贖金要求創(chuàng)下新高，平均贖金已上升至200萬(wàn)美元，其中30%的贖金要求超過(guò)500萬(wàn)美元。

雖然明確且強(qiáng)有力的安全措施顯示出企業(yè)對(duì)客戶和供應(yīng)商的承諾，但如何合理分配安全預(yù)算以獲得最佳投資回報(bào)并不簡(jiǎn)單。為安全支出帶來(lái)的好處賦予一個(gè)明確的貨幣價(jià)值并不容易，且因?yàn)橘Y金通常作為預(yù)防措施進(jìn)行分配，精準(zhǔn)衡量其成就充滿挑戰(zhàn)。

事實(shí)上，問(wèn)題的一部分在于企業(yè)往往聚焦于安全支出的負(fù)面結(jié)果。例如，很多公司會(huì)通過(guò)計(jì)算數(shù)據(jù)泄露的成本來(lái)證明在技術(shù)、人員或服務(wù)上的支出是合理的。盡管這種做法在一定程度上可以理解，但專(zhuān)注于“我們需要花多少錢(qián)來(lái)防止問(wèn)題發(fā)生”并不總是有助于構(gòu)建有效的安全投資商業(yè)理由。

有效的安全投資

相反，企業(yè)應(yīng)當(dāng)關(guān)注如何通過(guò)有效的投資展示出以業(yè)務(wù)為導(dǎo)向的正面回報(bào)。例如，展示最佳實(shí)踐是否能夠提供客戶所期望的保障和信心?這一點(diǎn)是否在他們的采購(gòu)清單中名列前茅?

在某些行業(yè)中，安全是核心決策標(biāo)準(zhǔn)之一，特別是在合規(guī)和監(jiān)管起著重要作用的領(lǐng)域，可能還需要通過(guò)外部審計(jì)，或者供應(yīng)鏈/投標(biāo)采購(gòu)流程可能依賴(lài)于明顯強(qiáng)大的安全策略。

在這些情況下，展示安全投資回報(bào)率不僅僅是為了在問(wèn)題發(fā)生時(shí)減輕損失和破壞，更重要的是，它提高了標(biāo)準(zhǔn)，表現(xiàn)得比競(jìng)爭(zhēng)對(duì)手更出色——這可以帶來(lái)更為顯著的財(cái)務(wù)回報(bào)。

毫無(wú)疑問(wèn)，采用最佳網(wǎng)絡(luò)安全實(shí)踐的企業(yè)也能更好地保護(hù)關(guān)鍵資產(chǎn)，如知識(shí)產(chǎn)權(quán)，同時(shí)，這還能降低對(duì)日常業(yè)務(wù)活動(dòng)的干擾風(fēng)險(xiǎn)，保護(hù)關(guān)鍵信息數(shù)據(jù)。

風(fēng)險(xiǎn)與回報(bào)

雖然最佳實(shí)踐的效果可能難以量化，但通常它們與業(yè)務(wù)戰(zhàn)略、監(jiān)管或合規(guī)要求保持一致。通過(guò)投資，這也向合作伙伴和客戶傳遞了一個(gè)明確的信號(hào)：公司對(duì)提供有效的網(wǎng)絡(luò)安全有著深刻且長(zhǎng)期的承諾。

某些特定行業(yè)的網(wǎng)絡(luò)安全法規(guī)要求無(wú)論在哪個(gè)領(lǐng)域都要確保數(shù)據(jù)隱私，而其他法規(guī)則專(zhuān)注于特定行業(yè)垂直領(lǐng)域，如《薩班斯-奧克斯利法案》(SOX)、《國(guó)際武器貿(mào)易條例》(ITAR)和《健康保險(xiǎn)可攜性和責(zé)任法案》(HIPAA)。一個(gè)關(guān)鍵挑戰(zhàn)在于，監(jiān)管框架往往存在解釋空間，這意味著企業(yè)需要摸索如何合規(guī)。

同樣，盡管像PCI-DSS這樣的合規(guī)標(biāo)準(zhǔn)推動(dòng)了重要安全實(shí)踐的采用，例如持續(xù)滲透測(cè)試、釣魚(yú)演習(xí)、采用SIEM(安全信息和事件管理系統(tǒng))和網(wǎng)絡(luò)彈性，但一些人仍將其視為一項(xiàng)巨大的投資。

接受外部審計(jì)的企業(yè)通常需要對(duì)審計(jì)結(jié)果、結(jié)論和建議作出反應(yīng)。在大多數(shù)情況下，審計(jì)反映的是監(jiān)管要求或企業(yè)集團(tuán)的需求。審計(jì)中發(fā)現(xiàn)的差距可能需要額外的預(yù)算或重新分配預(yù)算，對(duì)于那些未規(guī)劃此類(lèi)支出的企業(yè)來(lái)說(shuō)，這將帶來(lái)壓力。

履行義務(wù)

當(dāng)合同義務(wù)要求達(dá)到某些安全目標(biāo)或標(biāo)準(zhǔn)，或者這些目標(biāo)或標(biāo)準(zhǔn)是采購(gòu)流程的一部分時(shí)，企業(yè)會(huì)根據(jù)其風(fēng)險(xiǎn)偏好設(shè)計(jì)相應(yīng)的方案。

然而，履行合同義務(wù)是安全能夠展示切實(shí)ROI的一個(gè)情境。無(wú)論是維持現(xiàn)有的服務(wù)協(xié)議、持續(xù)向客戶提供履行義務(wù)的保證，還是更具體的事項(xiàng)，如簡(jiǎn)化新客戶的入職流程，強(qiáng)大的安全策略對(duì)業(yè)務(wù)的影響都可能是巨大的。

專(zhuān)注于這些優(yōu)先事項(xiàng)可以顯著幫助企業(yè)展示其績(jī)效和承諾，并為ROI做出貢獻(xiàn)。雖然確定和監(jiān)控典型安全預(yù)算的投資回報(bào)確實(shí)充滿挑戰(zhàn)，但這是構(gòu)建有效戰(zhàn)略的重要部分，該戰(zhàn)略能夠以現(xiàn)有的投資提供盡可能強(qiáng)的保護(hù)。