把網絡安全作為業務決策的緊迫性

寫在前面：如何評估網絡安全的有效性，一直是網絡安全投資方面的困擾。按照所保護資產的價值或者收入的規模，或者滿足合規的要求，都是實際工作中采用的方法。本文的建議是根據業務來確定合適的安全防護水平。

在風險評估的歷史上，定量、定性的方法都在使用，雖然說量化不是萬能藥，而網絡安全作為一種技術手段，量化也是難以忽視的一步，否則更沒有根據。但不能為了量化而量化，還是要圍繞著業務。但到底如何圍繞業務，文中給出的CARE標準也是一個方向性、概念性的東西，無法直接落地。

在本篇文章之后，又看到了其他的有關資料，一并奉上。

附錄1加上了剛看到的一個評估網絡安全投資回報率的方法，還是一個量化的思路。

附錄2 董事會想看到的網絡安全指標，詳細地列出和董事會溝通的方法，很有實踐意義。

把網絡安全作為商業決策的緊迫性

2020年2月12號發布，2021年8月2日更新  Gartner  ID G00466055

    網絡安全面臨著預算增長放緩，風險管理人員受挫，監管重心轉移等問題，隨著業務模型和支持他們的技術之間的界限變得模糊，CIO需要考慮能夠影響他們工作成效的網絡安全方面的風險、優先級和投資。

概述

關鍵挑戰

• 直到2023年，網絡安全支出增長變緩，董事會正在開始質疑，網絡安全多年大量投資之后，到底得到了什么？
• 董事會和高層管理人員對網絡安全的錯誤提問，導致糟糕的投資決策。
• 許多現有增強網絡安全的方法，無法提供適當的、實現防御性目的的保護。

推薦

    關注IT成本優化、財務、風險和價值的CIO們，為了提高風險優先級和公司業績，應該：

• 利用這個研究，打造一個商業案例和管理層敘事，改變組織中對待網絡安全的方式。
• 把網絡安全看作一個選擇和商業決策，提高網絡安全的準備程度。
• 使用成果驅動的方法，推動網絡安全優先級和投資，平衡投資和風險，實現期望的業務成果。

介紹

    Gartner 預測表明，在網絡安全方面的支出在放緩，2018年，網絡安全復合增長率為12%，到2023年，降到只有7%。Gartner的客戶也報告說，給董事會提交了多年的網絡安全季度報告后，董事會現在開始猶豫，要求改進數據，了解多年的大力投資之后，都完成了哪些目標。

    2017年Equifax被攻擊之后，被迫辭職的CEO明確表示黑客攻擊是導致這個結果的根本原因。2018年12月美國眾議院最終報告指出“Equifax的CEO沒有重視網絡安全”。

    2019年7月，英國信息專員澄清，GDPR規定的罰款嚴厲程度，基于是否存在合適的、合理的，持續有效的控制。這建立了不一樣類型的標準，追求適當水平的網絡安全防護。當前對安全優先級、投資和治理的方法的局限性和這個新標準沒有保持一致，也無法合適地解決。解決這個標準的更好的方法是把安全作為業務問題，并和業務需求保持一致。組織需要了解他們當前方法的局限性，并做出改變。

    本研究中提供的信息，應該被用來打造業務案例和管理敘事，改變在組織中對待網絡安全的方法。它描述了許多當前行為和方法的局限性。也為追求新的網絡安全衡量、報告、優先級和投資方法建立了基礎。

分析

應對網絡安全失敗的方法

    網絡安全作為董事會的議題已經十年了，網絡安全事故頭條消息仍層出不窮，盡管網絡安全預算增速放緩，在很多備受關注的公司中，這仍是投資熱點。網絡安全在企業全球部署時，董事會對網絡安全的有效性提出了挑戰。

    表1 目前對網絡安全有效性的挑戰

摘自 Gartner   2020年2月

社會上的看法正在導致糟糕的參與和失敗的投資

    當前社會上對網絡安全的看法可以大致總結為恐懼、不確定和懷疑，脫離需要解決的現實問題。每一次頭條上出現網絡安全事件，都有評論員在電視上反復發問：“為什么不能解決這個問題呢？”社會上把網絡安全看作技術黑盒，安全人員被視為巫師。管理層給他們金錢，巫師們施咒，如果某些事出現問題……某些人犯錯，我猜我們需要一些新的巫師。

    社會上的看法導致一個雙重標準，特征是“每個人都知道銀行可能被搶劫，但數字銀行最好是完美的。”如果罪犯對現場的銀行的員工說“把錢裝滿這個背包”，我們會覺得很遺憾。但當數字銀行遭受損失，大家都想知道，誰犯了錯。

    社會上的壓力成為董事會的指引，讓他們在網絡安全方面變得更聰明。于是在過去的10年，董事會一直在學習黑客和安全控制措施如何工作，他們忍受著關于威脅沒完沒了的論文。但這沒有幫助他們回答這個關鍵、合理的問題，即他們需要多少安全。

    社會上的壓力也驅使政府頒布法規。雖然法規強制組織在他們無所作為的方面采取行動，也在復選框打鉤的情況下生成了錯誤的決策，管理層相信合規將拯救他們。他們中的許多人知道或感覺，滿足合規不等同于防護。但監管機構讓他們無法選擇。最壞的情況，合規強迫我們在不需要的地方花費金錢，讓我們無法在需要的地方投資 。

關于網絡安全，組織正在詢問錯誤的問題

    在過去的15到20年內，和網絡安全治理相關的最常見問題，管理層建立了一個熟悉的需求模式。

    表2 常見網絡安全提問和他們的局限性

摘自 Gartner 2020年2月

    這些問題和他們的答案，導致網絡安全中優先級和投資方面的糟糕決策。最好的情況，能在安全預算上得到批準。最壞的情況，會導致一種“一切都很好”的錯誤安全感覺。但一切都不會好起來的。

改善網絡安全的投資和方法將陷入不足

    大多數管理層都清楚知道網絡安全不足，這也是CIO和CISO解決這個問題的持續工作，導致很多行為和投資也陷入不足。下列行為和方法常見于Gartner的客戶中

“開出支票簿”方法落后了

    單靠金錢無法解決問題，將來網絡安全成功的重要保證是管理層的參與。你不是只需要錢，你需要聰明的錢，花在和業務有關的領域。當高管說，他們將批準CIO 和CISO 解決網絡安全問題的任何預算時，他們正在放棄在過程中監管和參與的角色。

    許多CIO和CISO會說“錢”不是問題。為了解決網絡安全問題，他們的董事會保證同意任何規模的投資。這個宣告通常認為是強有力的支持，和1990年代及2000年代前十年形成強烈的對比，那時，大多數安全項目都在努力獲得資金支持。不幸的是，這個開出的支票簿更難于和管理層進行建設性的對話以增強網絡安全。

    CISO通常會強調，網絡安全是企業高管們的風險，但開出的支票簿把風險和責任很明確地放到了CISO的肩膀上。如果一個組織被黑，董事會和管理層會說：“我們說過給你需要的任何東西，為什么你不問呢？”

    獲得預算非常重要，但如果這種獲得以犧牲高層參與為代價，會損壞組織在網絡安全方面的成果。

無法執行的風險偏好

    自從2017年，組織一直追求的常見方法是開發風險偏好。概念上，這有很大的前景，實際上，在大多數組織，嚴重低于承諾。

    風險偏好是組織接受風險意愿的表現。這是一個現代的概念，是從檢查清單到基于風險方法的演變。承認風險是無法避免的，風險是一個工具，能夠定量使用，支持業務成功。清晰的風險偏好應該給組織一個機會，表達他希望多少風險，圍繞著業務來指導網絡安全投資。

    事實上，許多風險偏好的努力，已經變成管理層表達自己態度的平臺，“我們不喜歡冒險。”或者“我們對網絡安全風險零容忍。”但這些表達都太極端。

    風險偏好努力的真正失敗之處在于，他們需要包含一個可測量的風險規模，和能實現有效風險決策的底層治理過程。大多數組織都沒有這個組成部分。

    缺少這些基本的組成，注定風險偏好聲明變成解決基于風險需要的另一個讓人興奮方法，將無法實現承諾。當這些概念位于過高期望的頂峰，只有失敗， 他們失去了在市場中做好的力量，被拋棄。當多年之后重新復興，因為他們事實上是非常好的概念，人們拋棄他們并說“我們試過了，它基本上沒什么用。”

量化不是萬能藥

    自從2017年，Gartner的客戶對量化的興趣與日俱增。被完全可理解的需求推動，根據金錢（是一個5百萬美元的風險還是5千萬美元風險）和可能性（被黑客攻擊的百分比是多少）來展示風險和安全。現在董事會要求這樣做，越來越多的客戶開始有這個想法，認為這也許就是他們一直找尋的答案。

    2020年，由于過高預期，量化已經達到沖昏頭腦的地步，好幾個觀察都表明，它不會真正影響大多數組織。我們推薦每個組織考慮如下問題，評估對量化的興趣，決定是否適合組織。

    首先，量化是一個非常艱巨的任務。需要大量的時間、金錢和全職工作人員，取得可信和可靠的結果。為了維持價值，你要盡可能持續這種巨大的投資。較小組織會難以擁有足夠資源實現這個目的。

    雖然我們已經從組織收到了上百個請求，對學習更多的量化有興趣，但只有一小部分報告了可信和可靠的成功。成功的例子都是有著足夠數據和資源的特大型企業。

    其次，小心濫用。我們有好幾個例子，組織已經開始量化實踐，產生了他們所需要的表格、嚴謹的證據和量化的結果。問題是他們的計算中包含假設和基本上決定結果的“專家意見”。如果你使用量化只得到你想要的，你正在對你自己和管理層撒謊，你沒有在支持改善網絡安全。

    最后，一個組織應該評估改進決策的價值。作為評估的一部分，使用頭腦練習探索如何使用結果。Gartner的經驗，量化在支持組織需要多少網絡安全方面，已經表現了價值。但沒有每個組織所需要的、支持和網絡安全有關的優先級及投資方面的決策。

    總而言之，量化對某些組織支持某個關鍵投資決策有意義，值得投資。量化絕對不是許多人相信的靈丹妙藥。

內部審計和監管合規，仍然是主動推動力量

    許多董事會級別的高管，仍然相信內部審計和監管合規是他們解決網絡安全的主要指引。有好幾種表現，包括：

• 網絡安全委員會的報告被埋沒在審計委員會中
• 對內部審計的關注高于制定有效計劃
• 把網絡安全報告稱之為“審計和合規”或“風險和合規”的組織數量
• 復選框打鉤式的思維，盛行于很多組織中
• 我該用哪個框架
• 我們的項目基于ISO或NIST
• 我們在尋求項目認證

    這種心態的局限性眾所周知，合規不等同于防護。內部審計師不應該規定多大的風險是可接受的，或哪個控制最重要。復選框的方式在你不需要的領域浪費甚多，爭奪需要關注領域的資源。

網絡安全和業務決策之間的脫節導致真正的失敗

    在2017年黑客攻擊Equifax之后，Gartner 對Equifax的 CEO Rick Smith國會證詞的分析表明，在組織中，管理層的理解和網絡安全能力水平之間存在脫節。在Gartner客戶中，這種現象非常普遍。2018年眾議院小組委員會報告指出，“Equifax CEO 沒有把網絡安全放在優先級位置”（參見“更多CEO因網絡安全事件被解雇的8個原因“）。

    這些脫節應該喚醒沉睡的CIO、CISO和管理層，需要在商業環境解決網絡安全問題，并作為一個商業決策。在管理層敘事中，使用下列例子，描述除了黑客和數據泄露之外，網絡安全對業務成果的風險。

• 網絡安全投資增加心臟病事故。一項由美國國家科學基金贊助的研究強調，治療也許比疾病更糟糕。“中斷救護工作和護理及時性以及病人結果惡化有關。”糾正性的措施為了彌補受保護的健康信息在安全和隱私方面的缺陷。救護工作可能帶來一些變化，導致延遲、復雜性或損壞健康、IT和病人護理流程。根據幾百個醫院調查，數據泄露之后，每年10000個心臟病發作死亡中，增加36例死亡。
• 對所承擔風險考慮不足。銀行管理人員在新的面向客戶的在線銀行應用程序中，選擇忽略一個關于多因子認證的風險評估建議。管理層有權關閉，諷刺的是，這也許是保護客戶體驗的正確商業決策。失敗之處是這個管理人員沒有理解或對應用安全負有責任。
• 在網絡-現實聯動系統中施工失敗。一個現場工程師從一個大型移動機器的現場安裝中收集配置遙測信息。信息返回到制造商總部，導入仿真程序。由于錯誤配置，仿真程序開始重新配置幾百英里以外的安裝，面臨幾百萬美元的損失和工人生命安全的風險，所有現場技術人員使用同一個ID，在產品管理過程中沒有考慮安全。
• 網絡安全成為生存威脅。設備制造商全球銷售產品，在面向互聯網產品開發過程中忽視了網絡安全。基礎軟件是開源的，漏洞百出，使用完全不必要和全功能操作系統。暗網能發現所有連接到互聯網的設備，公司變成所有可想象的網絡犯罪的節點，從洗錢到分布式拒絕服務攻擊機器人控制。管理層被告知，但沒有放在心上，因為沒有客戶埋怨過。這是一個等待被起訴的企業。
• 管理層缺少對第三方風險的理解。一個得到董事會完全支持的金融服務組織，決定執行一個業務戰略，把許多業務職能外包。安全團隊建立了一個嚴格的評估流程，提醒決策者們關注網絡風險，推薦/不推薦某些合作伙伴。業務決策者批準一個特別的合作伙伴，盡管由于安全缺陷，安全部門建議不和那家公司合作。簽約六個月后，由于建議中提到過的一個安全缺陷，公司遭到入侵。董事會認為失敗是安全官的責任。接下來董事會提高對第三方風險的了解，強調業務部門決策對實際網絡態勢的影響。

    這些例子說明，業務決策和業務影響的實際情況脫鉤，能導致嚴重業務傷害。這些情況非常重要，但管理層被合規、黑客和他們要支出多少等事情分心。

    被中斷的治理是影響網絡安全準備的業務決策，但決策時沒有考慮影響。我們有管理層簽字“接受風險”的表格，但一文不值，責任很小或沒有責任。在Gartner的經驗中，幾乎沒有證據表明，風險根據業務的環境來得到合適的描述。因此，管理層沒有真正了解他們簽署協議的風險。

    非IT管理層通常不會詢問或堅持要求支持他們的技術具備某種水平的安全性。對他們而言，安全僅僅和技術相關，因為“什么樣的白癡才會建設一個不安全的系統？”如果IT和安全人員超出他們期望的安全水平，他們將會發現，實施這種級別的安全將會增加他們的成本，延長他們的交付時間表，對功能和客戶體驗產生負面影響。因此這些對話通常也不會發生。

    管理層決策和有效網絡安全之間的脫節應該讓管理層夜不能寐。應該把他們的注意力放在解決問題的新方法上。第一個關鍵步驟就是圍繞業務發展建設網絡安全。

圍繞業務發展，創建網絡安全

    為了圍繞業務環境創建網絡安全，你首先要了解組織的業務情況。每個組織-公共、私營、營利的、非盈利的、慈善、政府，國防和非政府（NGO）組織，都有自己的業務、都有業務預算和成本、期望的業務產出和支持業務的流程、收入源和客戶。他們都要依賴技術。

    這些依賴產生了投資的需求，保護支持其業務產出的技術。了解一個組織最重要的產出、最重要的流程、最重要的技術成果是圍繞業務生成網絡安全的第一步（參見：“Gartner 業務風險模型：集成風險和績效的框架“）。

當前網絡安全標準、框架和成熟度模型的局限性

    網絡安全標準和框架是保護環境而發布的推薦。大約有幾十種，包括最常見的NIST 網絡安全框架和ISO 2700X。

    這些標準的主要目標是減少網絡安全風險。他們常常包括工具、策略、安全概念、安全措施、指南、風險管理方法、操作、培訓、最佳實踐保證和技術的集合。

    過程成熟度模型使用標準和框架中的指南，提取最佳實踐和技術來決定能力水平。他們共同指導優先級和投資，完成期望的網絡安全能力水平。他們最大的限制是成熟度模型衡量功能本身有多好，而不是他們能做什么。

    隨著組織達到更高的成熟度，他們的成熟度模型、框架和標準開始失去價值。成熟度水平2.5左右，它們將成為幫助組織決定未來的優先級和投資的糟糕指南。2.5以上，潛在投資的復雜性必須和組織的情況更加緊密地結合。

    監管機構表示，網絡安全能力必須包含超過常見的成熟度模型和標準所要求和審計的功能。

    過去20年內，成熟度模型已經幫助組織優化幾十元美元的支出，取得了令人滿意的結果。Gartner針對所有行業的成熟度數據表明，所有行業的成熟度在2.6和3.6之間。組織需要更有力量的一些東西，交付所需級別的保護。

結果驅動的網絡安全指標

    組織很難決定網絡安全保護和投資的合適量級。他們需要轉向衡量保護水平來指導投資。

    2020年，典型的安全審計強調控制的存在。對NIST網絡安全框架審計標準的評估表明，73%的審計問題和控制是否存在相關，而不是他們的表現或防護水平。

    技術風險的結果驅動指標是工具、人和流程的一個抽象，反映了組織防護得多好，而不是如何防護。結果驅動指標能夠用來實現對網絡安全優先級和投資更有效的治理。結果驅動指標生成和管理層及董事會進行有意義、關于業務對話的必要用語（參看：“數字時代網絡安全的結果驅動指標“）。

網絡安全準備和投資的CARE標準

    英國信息專員Elizabeth Denham，2019年7月澄清，重大數據泄露事故后，GDPR罰款的嚴重程度和組織被攻擊或被影響的人數無關；組織將會被黑似乎不可避免。社會也許遭受雙重標準，它希望數字銀行非常完美，但監管者不是這樣想。

    專員聲稱，罰款的嚴重程度和是否存在足夠、合理、一致和有效的控制相關。Gartner相信這是來自監管機構最好的信號，決定你需要多少安全。澄清提供定義新的標準的機會，基于合適水平安全防護的新方法。

    圖1 網絡安全CARE標準

    最后，這些價值判定必須可信和可靠。在這四個特性中，無數的機會組合去做對組織最有利的事情。在保護措施和運行業務之間建立平衡。也包括建立更好安全能力的動機，帶來更好的結果，而不是僅僅花費更多金錢。

網絡安全準備是一種選擇

    安全程序的目標不是保護組織，因為那難以實現。安全程序的目標是在保護企業和運行業務之間取得平衡。

    如果我們無法徹底保護組織，我們該做什么？網絡安全準備是一個選擇。生成合適、合理、一致、有效的控制，和您的利益相關者、監管機構、客戶一起，在安全上花費正確的資源。這也是英國信息專員所描述設置罰款的標準。

    風險、價值和成本優化，指導著安全和業務之間優先級和投資的適當平衡（參見：“網絡安全和技術風險中風險、價值和成本優化“）。風險優化證明組織有正確的優先級和正確的投資，在解決風險和完成期望業務結果之間達成平衡。

    把網絡安全作為業務決策來對待的急迫性從未如此之大，組織現在有了這樣的理解和工具。

 （完）

附錄1 如何報告網絡安全程序的投資回報率

    高級檢測和響應產品Optiv副總裁，John Ayers認為:衡量任何安全項目的投資回報率，首先要盡早明確說明公司希望通過該項目實現的預期結果。這顯然因程序和公司的不同而不同。一家規模為400億美元的金融服務機構和一家規模為5億美元的制造業機構對安全投資回報率的看法肯定不同。

    然而，具體到實際工作，這兩個組織都在尋求減少和管理他們的風險。盡管預算和成熟度存在巨大差異，但基本目標是相同的。

    怎么做呢?

• 通過轉換數據所在的位置，從本地到云。
• 通過資產(設備或數據源)管理。
• 通過新的框架，如零信任或托管擴展檢測和響應(MXDR)。

    但這些都是成本，對吧?這如何提高安全價值?因為我們可以測量數據，并且可以報告數據和相關的指標。如果您對您的安全程序感到更舒服，那很好，但如果您不能測量它或看到結果，那么您怎么知道呢?您必須能夠通過監視和數據檢測來驗證您的程序。

    這些指標的例子可以以多種形式出現。從反應性的角度來看，我們討論的是 根據多個標準劃分安全事件的總數量，如類型、平均檢測時間(MTTD)、平均解決時間(MTTR)、長期的入侵嘗試以及網絡上未識別設備的數量。

    在此基礎上，我們轉向我所謂的“前瞻性指標”。這些指標是用來衡量培訓和漏洞管理表現如何。例子包括釣魚測試成功率、安全意識完成率、打補丁的平均天數、網絡上打完補丁的設備的百分比，以及員工報告的安全事件的數量。

    太多時候，我們陷入了“閃亮之物”的困境，我們期望所有新的東西都能以我們想要的方式交付——對科技產品也是如此。單靠一款技術產品很難實現整體的投資回報率。

    如果安全主管關注可視化并報告他們的團隊發現了什么，那么他們可以向公司領導層和董事會展示，他們的組織可以快速檢測和響應人員、流程和技術方面的潛在威脅，并迅速恢復正常業務。

附錄2 董事會希望看到的網絡安全指標 

摘自 csoonline    Pete Lindstrom  2022年5月2日

    對指標和措施感興趣的網絡安全專家，常常努力思考并對提交給董事會的最佳方案非常自信。這是一個棘手的命題，因為“我們必須使用業務語言”也是一個咒語。從業務角度提出網絡安全指標可能是一個挑戰，那么我們如何解決這個問題，并提供有用的見解呢？

    首先，我們必須認識到，董事會代表公司最高的戰略水平。如果你提供關于軟件補丁狀態和釣魚測試結果的指標，你實際上承認你的網絡安全程序建立在一堆雜亂無章和祈禱之上。

    網絡專家常常詆毀“紅-黃-藍”類型的指標，但記住，董事會不需要技術細節或差距說明。如果他們能獲得類似賣糖果和智能手機的零售店里“每平方英尺的銷售額”指標，或者在治療脫水和腦部外科手術的醫院里，獲得“病床利用率”的指標，他們就能在三到五級別上，具有“更大的視野”。“紅-黃-藍”也不是不能考慮，只要定義好級別，并有解釋他們的細節。現在更大的挑戰是董事會成員對過失承擔越來越多的責任，他們確實應該、也真的想了解更多的情況。

來自公司董事會最重要的問題

     現在我們回到起點，嘗試在戰略層面，給面向業務的董事會成員提供面向技術的網絡安全數據。在任何公司，對于董事會成員真正想了解的網絡安全設定一個基線也許有幫助，以下是他們的五大問題：

1. 我們安全嗎？這個問題讓很多網絡安全專家崩潰，因為從字面上來看，實現100%的保護，現在和未來的答案都是“不”。如果我們把問題改成“我們的暴露水平是多少？”我們就可以往下談了。
2. 我們合規嗎？根據審計結果，這個問題常常容易回答，但從“時間點”的視角來看，結果可以瞬間改變，可能無法提供真正的安慰。最好使用控制框架評估我們的網絡安全程序。
3. 我們發生過重大事件嗎？董事會成員非常清楚任何重大事件，所以常常根據成本和潛在的責任，詳細回答這個問題。 
4. 我說有5個問題，但上面三個是最典型的，后面兩個被認為是優秀董事會管理的標準要素。
5. 我們的安全程序有效性如何？質量第一。
6. 我們的安全程序效率如何？然后是數量。

董事會成員的安全指標

    當我們打造我們的程序，我們的目標應該是直接把最詳細的技術數據翻譯成業務水平上可以理解的戰略框架。我們應該考慮到這樣一個事實，董事會成員不蠢，他們能學習任何幫助他們做出戰略決策的東西。和我們一樣，技術正在接管他們的生活，隨著整個世界都在向數字化轉型，令人驚訝的是他們能在需要時輕松掌握SaaS指標。

    我們將使用下列指標：

• IT資產(用戶數量、設備、服務器、應用程序等)
• 使用活動(會話、流、消息等)
• 過程控制(用戶帳戶的創建/修改/刪除；漏洞檢測/路徑，事件檢測/響應等)
• 實時控制(反惡意軟件、防火墻、電子郵件安全等)
• 事件

     以下是優秀董事會一組核心指標，為企業網絡安全程序提供戰略洞察力。

• 網絡風險：不適當的使用活動占所有使用活動的百分比
• 網絡安全效能：實時網絡安全控制提供的網絡風險降低百分比
• 網絡暴露：每個IT資產使用活動的平均數量
• 網絡彈性：用于每個使用活動的實時控制的平均數量
• 風險厭惡比例：與允許或拒絕的惡意活動(漏報和誤報)相比，接受生產力損害(例如，密碼失敗、誤報)的意愿。

    此外，我們需要考慮成本和價值，畢竟財務信息是商業世界的通用語言。

• 損失與價值比：網絡安全支出(包括事故損失)與IT資產提供的財務價值相比
• 每個IT資產(可能是應用程序)的控制成本：IT資產的網絡安全控制手段成本
• 單位成本降低風險：相對于網絡安全總體支出，風險降低的財務價值

     看看董事會會議記錄和上市公司收入電話會議備忘錄，甚至在你喜歡的投資網站上大量的財務比例，你會看到上述指標比補丁水平和發現惡意軟件等七七八八的瑣事更具有戰略層面的意義。

    如果我們希望高層認真對待企業的網絡安全，這就是實現目標的方法。

（完）