2018網路安全預算：到底花多少錢才能有效保護企業

去年又是重大資料洩露頻發的一年，安全問題成為了每家公司管理層肯定會考慮的事項之一。

安全相關的各種考慮中，最重要的或許就是到底要花多少錢才能在大範圍網路攻擊和資料洩露時代有效保護公司資料了。

埃森哲諮詢公司發佈的《2017網路犯罪損失》

https://www.accenture.com/t20170926T072837Z__w__/us-en/_acnmedia/PDF-61/Accenture-2017-CostCyberCrimeStudy.pdf顯示，2017年網路安全支出比上一年度增長23%。

大部分支出源於網路攻擊頻率及其所造成損失的增長，每起安全事件導致的平均損失高達100萬美元。

為避免網路安全事件造成的破壞和損失，公司企業需建立周全而明智的安全預算，該預算需考慮到自身主要安全性漏洞，又有助於強化自身防禦。

本文將資訊及網路安全支出分為兩類：合規和恢復，並為公司企業奉上以這兩類支出為指引的最佳安全預算方法。

區分合規支出與恢復支出

建立安全預算的第一步，就是區分安全相關支出的兩大主要門類：合規支出與恢復支出。

合規支出

是為滿足安全政策或規定而產生的預防性開支。合規支出主要與預防措施相關，比如防火牆、安全軟體投資、員工培訓專案等。

合規支出大部分都會編入預算，而公司預算中包含的合規支出數額最好來自于決策者對安全資源配置領域深思熟慮的結果。

恢復支出

則是由安全問題導致的開支。恢復支出涵蓋較廣，包含了源於資料洩露或各類攻擊所致的全部開支，比如盜竊、勒索、商機喪失，還有為恢復信譽而做的公關努力。

為網路攻擊做預算非常難，因為其所造成的損失取決於多種因素，比如攻擊的嚴重性，以及公司是否做好了網路攻擊恢復預案。

合規與恢復相比，前者明顯更好做也更可取，因為它是有規劃的支出，

而且一般比恢復要便宜些。企業安全資料交換解決方案提供商Globalscape表示，不合規的代價，或者說不遵從政策規定的後果，大大超過合規的成本。

合規開支高未必能降低恢復成本。但是，更高的合規支出可以讓公司更好地避免恢復支出。

安全預算基於審計

凡事預而後立，在往安全中投入任何資源之前，需對公司基礎設施中的全部安全終端進行審計，確定自己預算的重點都在哪裡。

進行審計可以讓公司瞭解主要漏洞，認清安全投資應重點放在什麼控制措施上。

比如說，如果你在審計中發現公司安全性漏洞集中在糟糕的網路管理上，比如雇員出差或在家辦公時經常不用VPN連接公司系統，你就可以把你的預算落在解決網路接入的缺陷上，比如重新配置設備，只允許經由VPN或安全網路連接公司系統。

安全預算要考慮安全人才短缺情況

網路威脅態勢引出了所有公司企業在制定安全預算的時候都需要考慮的兩大安全現實。

第一個就是網路安全人才短缺，或者說當前市場上合格網路安全人才的缺乏。第二個殘酷的現實是，隨著網路罪犯人數的倍增和技術的改進，公司企業遭受網路攻擊的可能性也大大增加了。

因為缺乏確切的解決方案，這兩個問題目前都相當嚴峻。網路安全人才短缺的核心問題在於有能力的網路安全雇員供小於求，誰都不能憑空造出大量人才來填補該領域的人才短缺。

而且，網路罪犯的擴張也沒有多少阻力，尤其是在當今全球聯網的世界，很多攻擊都是在受害公司或組織的監管範圍之外發起的。

這兩大威脅還相互促進：網路安全人才短缺增加了公司遭到網路攻擊的幾率。資訊系統安全聯盟(ISSA)的研究表明，缺乏足夠的網路人才，事實上給約20%的公司招致了網路攻擊。另外，網路安全人才缺口在安全分析領域尤其大，這使得公司企業更加難以確定自身脆弱領域，不能有效標定其安全投資。

基於此，公司企業應將網路安全人才短缺納入安全預算考慮之中。如果不知道怎樣合理制定安全預算，可以求助網路安全公司和安全顧問等外部資源。雖然這些資源也是要花錢雇的，但在專業安全分析上的初始投資，最終將為你省去遭遇網路攻擊的大筆恢復支出。

明智的預算催生健壯的網路安全性原則

被大型網路安全事件屢屢驚嚇的一年過後，安全預算應成為公司企業2018重大事項之一。為周全應對未來一年可能遭遇的安全威脅，公司企業需要制定明智的安全預算。

恰當的安全預算來自于公司對安全相關的兩大主要開支的考慮：合規支出與恢復支出。

想要有效規劃合規支出，公司需瞭解當前網路威脅態勢的嚴重性，可進行審計以發現公司最大安全性漏洞，並將安全預算導引向補強這些短板上。

此外，公司還需對恢復支出採取務實的方法和預算。網路攻擊越普遍，公司企業最終淪為受害者的可能性越高。建立恢復預算以應對資料洩露或網路攻擊事件是必要的，這為遭到攻擊的情況預留資源可以減小公司所受的衝擊。

建立明智的預算可以令公司企業制定出健壯的網路安全性原則。而強大的策略來自明智的安全投資控制和訓練有素的員工基礎。