安全違規的真正成本

關于安全違規成本的文章有很多。并且隨著隱私法規的發布，我們根據企業的盈利或對每個攻擊記錄的價值進行計算，就可以計算出安全違規的成本。然而，這些硬數據似乎還不夠詳細，以至于無法使許多安全專業人員信服。

許多網絡安全專業人員的推測都進行了一個不必要的轉變，即從最初的可量化到如今不正確的概念。特別是，每當談及數據泄漏成本時，名譽受損的話題總不免被提起。然而，許多c級的高管都將其視為聳人聽聞的策略、邊緣政策、空洞的威脅，或者說這本就是理所應當的。沒有什么能夠比無法估量的威脅更能轉移人們對重要消息的注意力。

縱觀歷史，發生過的許多災難都比隱私信息泄漏要更加嚴重，另一方面，也出現過一些幾乎不受其影響的比較負責任的公司。而那些由于失誤甚至造成人員傷亡的公司，如今也依然在蓬勃發展。在這里沒有必要指明具體的名字和事件，因為這對我們來說都再熟悉不過了。同時，從純粹的網絡安全角度來看，即便那些代價最高的攻擊，持續成功也都是顯而易見的。

關鍵是，公司的名譽將會受到市場因素的影響，例如其償付能力以及以往的聲譽。當我們作為安全專業人員進行煽動性和危言聳聽的猜測時，我們也就淡化了自己易掌握信息的重要性。諷刺的是，我們所損害的往往可能是我們自己的聲譽。

人們經常說，安全專業人員不懂“業務語言”。這一直很令人費解，因為它對于純技術人員來說并沒有意義。然而，在闡明安全方案的重要性時，安全人員應該掌握一些簡單的步驟，以從業務的角度來展現風險的嚴重性。

了解業務

心理學家的原則是“在客戶的所在地與之會面”。這意味著，為了真正了解客戶，我們必須站在他們的角度來考慮其存在的問題。商業上也是如此。對于大多數企業來說安全并不是首要目標。最重要的目的往往是賺取足夠的錢來維持企業的運轉。你的生意是如何取得成功的呢？當試圖獲取資金或安全方案時，進行投資回報計算（ROI)是非常必要的。

在許多安全項目中，實現準確的ROI計算是非常困難的。組織往往無法預測自己需要預防確切攻擊的數量。然而，當涉及到違規成本計算時，事情就變得比較容易了，但同時也仍需要花費一定的精力。

了解數據

金融公司的記錄與非營利組織或醫療機構的記錄有很大的不同。在某些情況下，記錄可能存儲在完整性狀態不同在的多個系統中。為了數據的值進行量化，組織必須對所有數據的所在地以及其所包含的內容進行清點。

在某些情況下，一個系統所包含信息有限，因此一旦其遭到破壞，那么這些記錄都將變得毫無價值。在其他情況下，系統中可能包含著如個人身份信息(PII)等有價值的數據，而衛生保健系統，則包含著有價值的醫療數據。數據分類可以為該數據的優先級進行賦值，但為了更好地向董事會提出安全預算的案例，我們就必須為該數據分配真正的貨幣層次上的價值。這可以根據現有媒體報道和行業報告中的許多基準來實現。

了解電子表格

來自其他安全漏洞的比較信息應與業務相關的監管制裁一起提交。例如，如果企業遵守GDPR，那么處罰將與該組織的年度利潤有關。如果業務受到CCPA的約束，那么將涉及對每次違規的處罰。如果組織同時受到多個規則的限制，那么這些都應該包括在內。當為系統收集這些相關數據，以及潛在記錄的數量時，一個清晰的商業圖景就逐漸顯現出來了。例如，一個具有全球影響力的組織可以用以下方式來表示：

從簡單移動到復雜移動

在演示數據價值時，最好先從價值小的記錄開始演示，然后逐漸過渡到價值大的記錄，這樣可以展現出違規成本不斷增加的趨勢。在傳遞信息的同時，可以衡量一下整體的注意力情況，并在觀眾可接受的范圍內調整演示內容。同時，還應該強調，首次攻擊不會受到 處罰。相反，對此的懲罰是根據其影響因素來進行評估的（比如重復冒犯）。需要記住的是，這里的重點是要傳達業務信息，而并非是要散布恐懼或威脅。

擴展到外設安全方案

即使組織已經正確地完成了所有事項，但其仍然有可能會存在一些缺陷需要進一步改進。例如，盡管所有敏感數據均已被加密，但組織卻無法完全控制其所有加密密鑰，那么這個時候組織就需要建立一個密鑰管理平臺。或者，倘若組織在不斷追蹤配置漂移，那么就很有必要去購買一個配置管理系統。

遵守這些指標，避免產生轟動效應

如今，人們能夠比以往任何時候都更有能力，去準確地追蹤安全指標。追蹤所有的數據，然后將之與其真正的價值聯系起來，這需要花費大量的精力。這是因為它與組織具體的業務相關聯。但最終，比起對聲譽受損進行空洞的預測，它將獲得更多的支持。同時，這些指標本身就很顯著。感覺主義對我們的服務來說，并無多大益處。

數世點評

企業通常很難估量網絡威脅所能帶來的具體損失，但卻可以根據一定的指標來估算出網絡安全違規的成本。因而，安全的違規成本往往反應了相關安全威脅的嚴重性。反之亦然，安全威脅的嚴重程度越大，企業需付的相關成本也就越高。準確有效地向組織各層級展現威脅的重要程度，可以幫助組織識別優先事項，將有限的財力與精力用在“刀刃”上，從而更好地實現成本效益最大化。其中最關鍵的是，對于不同的組織，威脅所影響的業務，以及業務的具體價值都會受到不同因素的影響。因此，安全人員需要從實際出發，結合具體影響要素來向闡明不同威脅對業務的影響程度，即嚴重性。