在网络安全方面,业界一直在试图理解影响企业安全风险真正成本的复杂因素。作为一名首席信息安全官(CISO),我每天都要面对这些多方面的困境,跟业界其他人士一样试图确定保护公司富有价值资产的最佳安全投资。从现实角度来说,我如何才能预测未来五到十年的网络安全格局,甚至是未来一周的网络安全格局呢?
首席信息安全官需要对网络安全威胁方面有更多洞察力,我们的工作就是确保我们所在组织机构的安全。此外,我们还要向高级管理层演示确保网络安全以及高效网络安全投资的重要性。为了实现这一点,我们需要某种框架,某种定制化战略和建议来分配我们的安全支出。
为了满足这些需求,瞻博网络委任兰德公司的经济学家和安全专家开展了一项研究,对影响组织机构网络风险成本的主要因素进行了探索。去年,我们与兰德公司一道开展了一项研究,对网络攻击者的经济现实进行了调查,发现网络黑市已经达到了前所未有的成熟度。现在我们对威胁格局有了更加清晰的了解,于是我们反过来对防御者的经济现实进行了分析。
研究结果有助于我们对网络安全成本的动态进行更好理解并掌握防御方面的经济驱动因素和挑战。兰德公司的报告显示,很多公司在投资方面很可能没有采用最优的经济战略,在安全方面投资较少,在防御机制方面投资较多,并且没有感到网络更加安全。由此可见,攻击者的经济演算是清晰的,而防御方面则面临着一个更加模糊不清、混沌的环境。
为了跟上最新网络威胁的步伐并对未来的形势进行预测,很多首席信息安全官可谓是夜不能眠。不过,通过往后退一小步,重新专注于对风险进行管理,而不是试图对威胁进行管理,这将有助于提供一个更加清晰的未来路径。确定计划并不容易,决定如何在企业范围内对安全投资进行合理准确的分配也绝非易事--我对此深有体会。幸运的是,现在我可以说,终于有东西可以帮助我们开始这方面的对话了。
兰德公司根据其研究结果开发出了一个史无前例的启发式模型,可以作为一个学习工具,更好地理解影响安全风险管理成本的主要因素,如何决定最佳投资,并且提供了对网络安全风险进行整体管理所需的知识。
为了让人们能够更好地理解这一模型,瞻博网络对这一启发式模型进行了阐释,打造了一个交互工具来讲解模型的关键因素并提供定向投资指导。这为首席信息安全官提供了一个出发点来定向理解为保护组织机构可以做出的一系列决定并确定应该关注的领域和投资的方向。
兰德公司的模型显示,在未来十年,各类企业对网络安全风险进行管理的成本将增加38%。现在是时候对安全风险进行更好管理了,并且要系统性地确定安全投资应该用在什么地方,从而创造一个更加安全的网络。
关于作者
瞻博网络首席信息安全官 Sherry Ryan
