关于安全违规成本的文章有很多。并且随着隐私法规的发布,我们根据企业的盈利或对每个攻击记录的价值进行计算,就可以计算出安全违规的成本。然而,这些硬数据似乎还不够详细,以至于无法使许多安全专业人员信服。 许多网络安全专业人员的推测都进行了一个不必要的转变,即从最初的可量化到如今不正确的概念。特别是,每当谈及数据泄漏成本时,名誉受损的话题总不免被提起。然而,许多c级的高管都将其视为耸人听闻的策略、边缘政策、空洞的威胁,或者说这本就是理所应当的。没有什么能够比无法估量的威胁更能转移人们对重要消息的注意力。 纵观历史,发生过的许多灾难都比隐私信息泄漏要更加严重,另一方面,也出现过一些几乎不受其影响的比较负责任的公司。而那些由于失误甚至造成人员伤亡的公司,如今也依然在蓬勃发展。在这里没有必要指明具体的名字和事件,因为这对我们来说都再熟悉不过了。同时,从纯粹的网络安全角度来看,即便那些代价最高的攻击,持续成功也都是显而易见的。 关键是,公司的名誉将会受到市场因素的影响,例如其偿付能力以及以往的声誉。当我们作为安全专业人员进行煽动性和危言耸听的猜测时,我们也就淡化了自己易掌握信息的重要性。讽刺的是,我们所损害的往往可能是我们自己的声誉。 人们经常说,安全专业人员不懂“业务语言”。这一直很令人费解,因为它对于纯技术人员来说并没有意义。然而,在阐明安全方案的重要性时,安全人员应该掌握一些简单的步骤,以从业务的角度来展现风险的严重性。
了解业务
心理学家的原则是“在客户的所在地与之会面”。这意味着,为了真正了解客户,我们必须站在他们的角度来考虑其存在的问题。商业上也是如此。对于大多数企业来说安全并不是首要目标。最重要的目的往往是赚取足够的钱来维持企业的运转。你的生意是如何取得成功的呢?当试图获取资金或安全方案时,进行投资回报计算(ROI)是非常必要的。 在许多安全项目中,实现准确的ROI计算是非常困难的。组织往往无法预测自己需要预防确切攻击的数量。然而,当涉及到违规成本计算时,事情就变得比较容易了,但同时也仍需要花费一定的精力。
了解数据
金融公司的记录与非营利组织或医疗机构的记录有很大的不同。在某些情况下,记录可能存储在完整性状态不同在的多个系统中。为了数据的值进行量化,组织必须对所有数据的所在地以及其所包含的内容进行清点。 在某些情况下,一个系统所包含信息有限,因此一旦其遭到破坏,那么这些记录都将变得毫无价值。在其他情况下,系统中可能包含着如个人身份信息(PII)等有价值的数据,而卫生保健系统,则包含着有价值的医疗数据。数据分类可以为该数据的优先级进行赋值,但为了更好地向董事会提出安全预算的案例,我们就必须为该数据分配真正的货币层次上的价值。这可以根据现有媒体报道和行业报告中的许多基准来实现。
了解电子表格
来自其他安全漏洞的比较信息应与业务相关的监管制裁一起提交。例如,如果企业遵守GDPR,那么处罚将与该组织的年度利润有关。如果业务受到CCPA的约束,那么将涉及对每次违规的处罚。如果组织同时受到多个规则的限制,那么这些都应该包括在内。当为系统收集这些相关数据,以及潜在记录的数量时,一个清晰的商业图景就逐渐显现出来了。例如,一个具有全球影响力的组织可以用以下方式来表示:
从简单移动到复杂移动
在演示数据价值时,最好先从价值小的记录开始演示,然后逐渐过渡到价值大的记录,这样可以展现出违规成本不断增加的趋势。在传递信息的同时,可以衡量一下整体的注意力情况,并在观众可接受的范围内调整演示内容。同时,还应该强调,首次攻击不会受到 处罚。相反,对此的惩罚是根据其影响因素来进行评估的(比如重复冒犯)。需要记住的是,这里的重点是要传达业务信息,而并非是要散布恐惧或威胁。
扩展到外设安全方案
即使组织已经正确地完成了所有事项,但其仍然有可能会存在一些缺陷需要进一步改进。例如,尽管所有敏感数据均已被加密,但组织却无法完全控制其所有加密密钥,那么这个时候组织就需要建立一个密钥管理平台。或者,倘若组织在不断追踪配置漂移,那么就很有必要去购买一个配置管理系统。
遵守这些指标,避免产生轰动效应
如今,人们能够比以往任何时候都更有能力,去准确地追踪安全指标。追踪所有的数据,然后将之与其真正的价值联系起来,这需要花费大量的精力。这是因为它与组织具体的业务相关联。但最终,比起对声誉受损进行空洞的预测,它将获得更多的支持。同时,这些指标本身就很显著。感觉主义对我们的服务来说,并无多大益处。
点评
企业通常很难估量网络威胁所能带来的具体损失,但却可以根据一定的指标来估算出网络安全违规的成本。因而,安全的违规成本往往反应了相关安全威胁的严重性。反之亦然,安全威胁的严重程度越大,企业需付的相关成本也就越高。 准确有效地向组织各层级展现威胁的重要程度,可以帮助组织识别优先事项,将有限的财力与精力用在“刀刃”上,从而更好地实现成本效益最大化。其中最关键的是,对于不同的组织,威胁所影响的业务,以及业务的具体价值都会受到不同因素的影响。 因此,安全人员需要从实际出发,结合具体影响要素来向阐明不同威胁对业务的影响程度,即严重性。
发表评论