網絡安全投資回報率(ROI)是自相矛盾?
責編:gltian |2019-04-01 13:25:51投資回報的核心在于是否物有所值?這是在決定任何采購時的核心問題。證明網絡安全產品的投資回報率(ROI)是眾所周知的困難,也是當今網絡安全狀況不佳的根本原因之一。
主要問題是,很難去展示網絡安全產品的投資回報的有型收益,因為它基于假設的情況。“如果企業沒有配置安全產品,就會被入侵17次,而不是3次”——這論題很難證明。因此,很多公共和私營部門的安全專業人士在評估網絡安全產品時,都對投資回報率表示懷疑,認為產品注定要失敗。
即便如此,想要獲得持續的資金和支持,必須證明安全支出的價值。
如何在不依賴假設場景的情況下展示投資回報率?
假設你所在的機構已經購買并部署了一個威脅情報共享系統。在部署這個系統之前,安全人員是否處理了更多的入侵事件?
如果這個數量較少,并且可以歸因于這個系統,那就太好了。不過,一個更貼切指標或許是嘗試入侵與成功入侵的比例:這個比例下降了嗎?如果數字下降了,你可以通過計算響應入侵事件的員工的人工費率來展示投資回報率的有形收益 。
行動計劃和里程碑(Plan of Action & Milestones, POA&M) 的完成是另一個度量標準:您是否比采購前更快地完成它們?如果是,加速完成是否得益于你安裝的系統嗎?完成POA&M的預計成本與實際成本相比如何?當然,預計成本需要猜測,但這種方法至少使用了一些具體的財務指標。
一些安全事件和事件管理(SIEM)系統對數據處理按字節收費。是否有預處理系統可以對數據進行表轉化和刪除重復數據,從而降低使用SIEM的成本?
有些指標用美元和美分表示,但是通過將ROI的概念擴展為包含可量化的指標,就有可能展示一筆特定的支出如何帶來了可量化的收益 。
例如,一個新的釣魚檢測系統可能比舊的系統捕獲更多的非法電子郵件。將這種改進用錢表示可能是困難的,但它仍然是可衡量的和具體的,而這種特質正是精打細算的人欣賞的。
因此,本文建議重新審視網絡安全領域的ROI概念。也許有一些創造性的方法可以從金錢上證明一項采購是合理的,但即使想要通過可靠的非財務統計數據,獲得預算資金來改善一項安全計劃,也需要走很長的路。