压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

2023年，自斯諾登事件以來全球CISO首次面臨預(yù)算增速放緩甚至縮減。一方面，網(wǎng)絡(luò)安全威脅和企業(yè)數(shù)字化轉(zhuǎn)型業(yè)務(wù)安全保障需求不斷增長(zhǎng)；另一方面，CISO需要“平地?fù)革灐薄⒔当驹鲂В鶕?jù)IANS Research最新公布的研究報(bào)告，伴隨全球經(jīng)濟(jì)衰退預(yù)期和通脹壓力的持續(xù)，2022-2023年預(yù)算周期的網(wǎng)絡(luò)安全預(yù)算增速同比下降了65%。

與預(yù)算緊縮和人員短缺作斗爭(zhēng)，已經(jīng)成為當(dāng)下CISO面臨的主要挑戰(zhàn)。而充分認(rèn)識(shí)和規(guī)避網(wǎng)絡(luò)安全支出中的“成本陷阱”，是CISO應(yīng)對(duì)該挑戰(zhàn)最有效的方法。

網(wǎng)絡(luò)安全投資往往暗藏成本陷阱，這些陷阱一開始可能并不明顯，但會(huì)隨著時(shí)間的推移悄悄消耗網(wǎng)絡(luò)安全部門的寶貴預(yù)算。本文，我們將揭示七個(gè)網(wǎng)絡(luò)安全成本陷阱，即便是經(jīng)驗(yàn)豐富的CISO也未必能完全躲過這些陷阱：

01?網(wǎng)絡(luò)安全產(chǎn)品收費(fèi)結(jié)構(gòu)復(fù)雜

• 安全產(chǎn)品和服務(wù)的收費(fèi)結(jié)構(gòu)往往很復(fù)雜。基礎(chǔ)版本的價(jià)格可能相對(duì)合理，但更高級(jí)的功能可能需要額外付費(fèi)。

02?第三方附加成本

• 在購買任何安全產(chǎn)品或服務(wù)之前，應(yīng)仔細(xì)評(píng)估所有可能的附加成本。
• 應(yīng)利用談判策略來降低產(chǎn)品和服務(wù)的價(jià)格。

032?內(nèi)部運(yùn)營(yíng)成本

• 考慮內(nèi)部運(yùn)行成本，例如員工培訓(xùn)、維護(hù)和管理大量數(shù)據(jù)。
• 使用開源解決方案時(shí)，也需要考慮實(shí)施、管理和集成的成本。

04?功能和功能冗余

• 避免購買提供重復(fù)功能的服務(wù)。
• 評(píng)估現(xiàn)有安全提供商的有效性，并根據(jù)業(yè)務(wù)需求進(jìn)行調(diào)整。

05?無效支出

• 在購買新工具或服務(wù)之前，首先評(píng)估現(xiàn)有解決方案是否已滿足需求。
• 避免購買與組織的威脅模型不符的投資。

06?供應(yīng)商鎖定

• 避免因初期投資而使自己陷入某個(gè)供應(yīng)商的鎖定，導(dǎo)致后期難以更換產(chǎn)品或平臺(tái)。

07?預(yù)算分配爭(zhēng)議導(dǎo)致的“意外成本”

• 確保安全投資與企業(yè)的戰(zhàn)略目標(biāo)和業(yè)務(wù)優(yōu)先級(jí)保持一致。
• 避免由于優(yōu)先級(jí)不一致導(dǎo)致的預(yù)算分配爭(zhēng)議和由此產(chǎn)生的意外成本。

CISO應(yīng)該時(shí)刻警惕上述成本陷阱，通過有效的策略和計(jì)劃，確保安全投資的合理性和效益。

以下，我們?cè)敿?xì)介紹如何避免掉入網(wǎng)絡(luò)安全的“成本陷阱”：

1.留神安全產(chǎn)品服務(wù)計(jì)費(fèi)結(jié)構(gòu)的“套路”

許多CISO迷失在錯(cuò)綜復(fù)雜的網(wǎng)絡(luò)安全產(chǎn)品計(jì)費(fèi)結(jié)構(gòu)中。“現(xiàn)在許多產(chǎn)品都有非常復(fù)雜的計(jì)費(fèi)結(jié)構(gòu)，而基礎(chǔ)版本的解決方案可能看起來相對(duì)有吸引力，但更高級(jí)的功能，通常是CISO所需的功能，一般會(huì)額外收費(fèi)”歐洲聯(lián)盟網(wǎng)絡(luò)安全局（ENISA）顧問組成員Brain Honan指出。

這在安全信息和事件管理（SIEM）或安全運(yùn)營(yíng)中心（SOC）解決方案中相當(dāng)常見，其中工具或平臺(tái)的初始購買相對(duì)較便宜，但隨著存儲(chǔ)的數(shù)據(jù)量、跟蹤的事件、分析的流量或監(jiān)視的終端數(shù)量的增加，相關(guān)價(jià)格可能會(huì)大幅上升。

信息安全論壇（ISF）的杰出分析師Paul Watts指出，安全產(chǎn)品和服務(wù)的額外費(fèi)用也可能包括許可、維護(hù)和支持成本，此外CISO承擔(dān)了很多本應(yīng)由CTO/CIO承擔(dān)的成本：”我聽說過CISO負(fù)責(zé)更多的安全功能，如SOC和基礎(chǔ)設(shè)施，發(fā)現(xiàn)他們承擔(dān)了本應(yīng)由CIO/CTO承擔(dān)的支持和維護(hù)成本，特別是如果預(yù)算線相當(dāng)緊密地結(jié)合在一起。”

2.仔細(xì)審查第三方成本

在決定購買任何網(wǎng)絡(luò)安全服務(wù)或與第三方合作之前，CISO應(yīng)詢問并仔細(xì)評(píng)估相關(guān)的所有潛在額外成本。“這是為了優(yōu)化供應(yīng)商談判策略，為產(chǎn)品和服務(wù)爭(zhēng)取最低的合理價(jià)格，”Grand Canyon Education的CISO Mike Manrod說。特別是當(dāng)購買新產(chǎn)品，建立全新的合作關(guān)系，或涉及知識(shí)產(chǎn)權(quán)而非實(shí)物產(chǎn)品的成本場(chǎng)景時(shí)，通常有很大的談判空間。

“關(guān)于服務(wù)，最重要的竅門是堅(jiān)持要求廠商為每個(gè)新產(chǎn)品的實(shí)施都提供充分的專業(yè)服務(wù)，讓企業(yè)安全團(tuán)隊(duì)中最優(yōu)秀的人員親自操作，由廠商的專業(yè)服務(wù)工程師遠(yuǎn)程指導(dǎo)。” Manrod說：“如果你選擇了正確的內(nèi)部人員，他們將成為專家，然后讓他們培訓(xùn)一個(gè)備份人員，并創(chuàng)建文檔和持續(xù)知識(shí)傳遞的文化。過去的6年中，這種方法為我們節(jié)省了很多錢。”

Manrod表示，另一個(gè)考慮因素可以幫助談判更合理的新安全產(chǎn)品價(jià)格。“例如，當(dāng)一些遠(yuǎn)程瀏覽器隔離供應(yīng)商報(bào)價(jià)過高時(shí)，我會(huì)告訴供應(yīng)商這個(gè)報(bào)價(jià)足夠我們自行開發(fā)一個(gè)功能類似的開源項(xiàng)目。“

3.內(nèi)部運(yùn)營(yíng)成本不可忽視

安全產(chǎn)品和服務(wù)復(fù)雜的成本結(jié)構(gòu)只是網(wǎng)絡(luò)安全隱性成本的一部分。另一件需要考慮的事情是有效運(yùn)行安全產(chǎn)品的內(nèi)部成本，這一點(diǎn)經(jīng)常被忽視。以SIEM為例，CREST英國(guó)理事會(huì)成員Dave Allan指出，SIEM顯然是一個(gè)有效的安全工具，但出于合規(guī)目的，企業(yè)需要管理和保留大量數(shù)據(jù)，這意味著需要投入大量的存儲(chǔ)資源和時(shí)間。“考慮員工培訓(xùn)、維護(hù)、添加用戶和處理誤報(bào)等因素也很重要——所有這些因素可能不會(huì)包含在初始成本分析中。”Allan說道。

滲透測(cè)試服務(wù)和開源解決方案也是如此。在使用滲透測(cè)試服務(wù)時(shí)，企業(yè)還必須考慮內(nèi)部所需的時(shí)間和資源、任何潛在停機(jī)對(duì)業(yè)務(wù)造成的成本、分析報(bào)告所需的時(shí)間以及實(shí)施所需安全措施的成本。

開源解決方案雖然經(jīng)常被看作是商業(yè)安全工具的經(jīng)濟(jì)高效替代品，但也不一定能為網(wǎng)絡(luò)安全團(tuán)隊(duì)節(jié)省成本。“實(shí)施、管理、集成和支持解決方案會(huì)產(chǎn)生持續(xù)成本，例如招聘相關(guān)專業(yè)人才或聘請(qǐng)外部專家時(shí)產(chǎn)生意想不到的成本。”

4.砍掉預(yù)算中的重疊服務(wù)和重復(fù)功能

重復(fù)功能和重疊服務(wù)是另一種常見的網(wǎng)絡(luò)安全預(yù)算超支原因。云服務(wù)提供商N(yùn)asstar的首席信息安全官Nick Trueman表示：“為重復(fù)的安全功能付費(fèi)往往導(dǎo)致預(yù)算緊張。還可能導(dǎo)致集成方面的問題，協(xié)調(diào)和集成提供類似功能的多個(gè)廠商的產(chǎn)品會(huì)導(dǎo)致復(fù)雜性和互操作性問題。”

CISO應(yīng)進(jìn)行全面審查當(dāng)前所有安全提供商提供的服務(wù)。“評(píng)估其有效性以及是否符合業(yè)務(wù)的安全要求，如果發(fā)現(xiàn)重復(fù)功能，請(qǐng)考慮將服務(wù)整合到單個(gè)提供商下或與提供商協(xié)商以消除冗余。

5.不要把預(yù)算浪費(fèi)在無效安全服務(wù)和產(chǎn)品上

CISO往往會(huì)為無法帶來預(yù)期收益的冗余或無效工具付費(fèi)，從而嚴(yán)重影響安全預(yù)算和覆蓋計(jì)劃。Qualys首席技術(shù)安全官Paul Baird表示，CISO經(jīng)常會(huì)遇到這樣的情況：他們投資的安全工具或技術(shù)無法兌現(xiàn)最初的承諾，或提供預(yù)期價(jià)值及投資回報(bào)(ROI)。

發(fā)生這種情況的原因有多種，包括與現(xiàn)有系統(tǒng)集成不足、用戶采用率不高或工具無法有效滿足企業(yè)的特定安全需求。此類投資可能會(huì)導(dǎo)致安全預(yù)算緊張，并占用更有效的安全措施的資源，最終損害企業(yè)的整體網(wǎng)絡(luò)安全態(tài)勢(shì)。

在購買新產(chǎn)品之前確定現(xiàn)有解決方案是否可用。

ReliaQuest首席信息安全官Rick Holland表示，CISO有過度采購的歷史，他們更新工具并購買新工具，而不驗(yàn)證用例或檢查現(xiàn)有解決方案是否已經(jīng)能滿足需求。這導(dǎo)致工具蔓延和大量冗余且可能不必要的安全控制，從而使安全運(yùn)營(yíng)變得復(fù)雜。企業(yè)需要協(xié)調(diào)所有安全投資，以確保與企業(yè)的威脅模型相關(guān)并最大限度地降低風(fēng)險(xiǎn)。

例如，如果企業(yè)所處的行業(yè)不屬于網(wǎng)站可用性對(duì)于創(chuàng)收至關(guān)重要的垂直行業(yè)，是否仍然有必要續(xù)訂基于云的分布式拒絕服務(wù)(DDoS)緩解服務(wù)？

根據(jù)Honan在組織中審查安全工具的經(jīng)驗(yàn)，企業(yè)往往會(huì)為同一個(gè)功能購買兩到三個(gè)產(chǎn)品，僅僅是因?yàn)槠髽I(yè)不知道他們購買的原始產(chǎn)品中已經(jīng)提供了所需的所有功能。例如，許多現(xiàn)代操作系統(tǒng)都有內(nèi)置的安全功能，例如磁盤加密，如果實(shí)施這些功能，可以消除對(duì)第三方解決方案的要求。

降低此類成本的關(guān)鍵是招聘一名產(chǎn)品工程師來審查安全配置并正確實(shí)施解決方案，這可以幫助CISO省去購買新工具以及與集成和管理該工具的相關(guān)成本。

6.“供應(yīng)商鎖定”可造成永久性的成本陷阱

一些CISO可能會(huì)陷入的另一個(gè)成本陷阱是供應(yīng)商鎖定。為了使解決方案有效發(fā)揮作用而投入的金錢、時(shí)間和資源最終可能會(huì)大大高于最初的預(yù)期。這導(dǎo)致很多CISO不愿意遷移到替代產(chǎn)品或平臺(tái)，因?yàn)樗麄兛赡苡X得這樣做投資會(huì)損失，或者遷移成本過高。

Honan 表示：“當(dāng)安全功能或流程外包給第三方或云服務(wù)時(shí)，情況尤其如此，即便成本不斷升高，企業(yè)仍然不愿意遷移到成本效益更好的解決方案。”

7.避免預(yù)算分配爭(zhēng)議導(dǎo)致的“意外成本”

安全投資與企業(yè)戰(zhàn)略和業(yè)務(wù)優(yōu)先級(jí)不一致可能導(dǎo)致CISO無法獲得足夠的預(yù)算實(shí)施有效的長(zhǎng)期戰(zhàn)略，而當(dāng)企業(yè)高管和各部門主管的戰(zhàn)略目標(biāo)和觀點(diǎn)與CISO的網(wǎng)絡(luò)安全優(yōu)先事項(xiàng)不一致時(shí)，通常會(huì)導(dǎo)致“意外成本”。

“當(dāng)出現(xiàn)這種不一致時(shí)，可能會(huì)導(dǎo)致預(yù)算分配方面的爭(zhēng)議，”Baird指出：“CISO在與其他部門競(jìng)爭(zhēng)預(yù)算時(shí)需要證明其預(yù)算請(qǐng)求的合理性，而CISO的任何妥協(xié)可能會(huì)導(dǎo)致企業(yè)安全需求無法得到充分滿足，從而導(dǎo)致企業(yè)在響應(yīng)安全事件或數(shù)據(jù)泄露時(shí)的意外支出。”

“企業(yè)可能會(huì)被動(dòng)地分配資源來解決眼前的威脅，這通常會(huì)在未來產(chǎn)生意外成本。這種被動(dòng)投入的方法可能會(huì)導(dǎo)致安全預(yù)算緊張，無法提供全面且更具成本效益的長(zhǎng)期安全策略。”

Manrod表示，有時(shí)企業(yè)和安全領(lǐng)導(dǎo)者在這方面都是短視的，在一個(gè)季度內(nèi)采取最簡(jiǎn)單的安全措施，這可能在一年內(nèi)產(chǎn)生中性結(jié)果，但在五年內(nèi)可能會(huì)產(chǎn)生災(zāi)難性結(jié)果。“真正解決這個(gè)問題需要做長(zhǎng)遠(yuǎn)規(guī)劃。”

因此，CISO需要將其安全優(yōu)先級(jí)與企業(yè)的戰(zhàn)略目標(biāo)保持一致，并定期評(píng)估安全投資的績(jī)效，以確保資源得到有效分配，并且安全覆蓋計(jì)劃有效且具有成本效益。

當(dāng)然，最重要的是，CISO需要在企業(yè)中有足夠長(zhǎng)的任期，并得到其他高管的認(rèn)同和支持。

來源：GoUpSec