您的企業網路安全預算能覆蓋所有的關鍵內容嗎?下面我們來看看預算規劃者經常最小化或忽略的7項開支。

預防網路攻擊的成本幾乎總是比在網路攻擊發生後修復損失的費用要低。儘管如此，許多企業在編制網路安全預算時仍會遺漏一些關鍵內容，這可能會使企業遭受重大的財務損失。

每個組織，無論其規模大小或重點如何，都應該制定一個合理、準確的網路安全預算。喬治亞州肯尼索州立大學資訊保安與保障教授胡馬雍•扎法（Humayun Zafar）說:“預算為幾乎所有事情都帶來了實用性。”

Zafar指出，儘管企業為保護系統和資源竭盡全力，但網路安全威脅事件仍在不斷髮生並迅速增長。他警告說:“預算的增長速度不能與這些威脅的發生速度相提並論。因此，組織必須對網路安全進行明智的投資。在不能確保所有內容的安全時，確定預算的優先順序至關重要。”

這裡有七個關鍵的網路安全預算專案，規劃者經常忽視或未能實際解決。

1.招聘和留住員工

許多組織無視長期趨勢，低估了僱傭和保留熟練網路安全專業人員的成本。商業諮詢公司EY Consulting的網路安全負責人卡羅琳•施賴伯(Carolyn Schreiber)表示:“在過去幾年裡，合格的專業人士與成倍增長的工作崗位之間的差距一直在擴大。競爭依然激烈，人才大戰仍在繼續。”因此，許多組織發現他們在努力招聘和留住合格的網路安全專家時，自己的招聘預算會超支。

商業諮詢公司德勤風險與財務諮詢公司的美國網路與戰略風險主管黛博拉•戈爾登（Deborah Golden）指出，早在2019冠狀病毒大流行之前，網路安全人才就一直短缺。“如果你的組織能夠招聘到有技術的網路人才——即使你打算永遠遠端聘用這些人才——果斷去做吧，”她敦促道。

2.雲支出

SAP國家安全服務(National Security Services，NS2)的資訊長Ted Wagner說，與網路安全相關的雲開銷經常被低估或者管理不善。他指出：“通常，雲端計算的花費不是集中的，組織中的許多部門在沒有適當控制的情況下就開始在雲環境中進行測試或開發。”在雲服務上的過度花費可能會使原本被認為是廉價的、甚至是節約預算的專案變成嚴重的財務負擔。

雲預算應反映實際定價，同時預計各個業務部門試用和測試時基於雲的安全工具的額外費用。Wagner警告稱："在大型組織中，這些增量可以使成本迅速增加。

3.第三方建議和分析

企業經常忽視對第三方漏洞測試的預算，以及顧問對管理人員和員工提出潛在網路威脅建議的預算。國際律師事務所Reed Smith的網路安全合夥人莎拉•布魯諾(Sarah Bruno)律師表示:“在這裡，增加預算是件好事，這樣你就可以從不止一家公司尋求幫助，確保得到全方位的建議。”

一個組織可能會拒絕為多個外部洞察支付額外的費用，因為它對當前的網路安全環境完全有信心，或者因為它每年都在一個固定的預算下與同一個安全顧問合作。然而，這樣的推理通常是短視的。Bruno說:“最好有來自不同安全公司的意見，特別是對於更敏感的資料，以幫助發現新的威脅，並確保您擁有適當的技術，行政和物理保障措施。”

4.事件響應

網路安全審計和測試公司Kirkpatrick Price的Joseph Kirkpatrick說，事故響應(Incident response，IR)是網路安全中一個通常被忽視的需求，尤其是在預算方面。他指出，當企業因資料洩露而受害時，一個精心計劃的IR戰略可以拯救組織免於潛在的毀滅性的財務損失。“花時間僱傭和培訓一個負責事故反應的團隊會有回報的，”Kirkpatrick建議。

管理公司博思艾倫(Booz Allen Hamilton)負責網路安全策略的副總裁魯迪•巴卡洛夫(Rudy Bakalov)表示，儘管存在固有的風險，很多企業未能對IR費用進行現實的預算。“在媒體上有大量的組織，即便具有成熟的安全程式，仍然被破壞的例子。很難理解為什麼組織不為間接成本制定更好的計劃，比如……保留/培養IR能力。也許他們認為自己的組織太大或太小，不可能成為攻擊目標，或者他們在賭這種事不會發生在自己身上。”

博思艾倫諮詢公司(Booz Allen Hamilton)商業網路業務負責人克里斯托弗•史密斯(Christopher Smith)補充稱，未能解決諸如IR之類的間接網路安全成本所帶來的後果，與不充分考慮直接成本一樣重要，尤其是在事件響應方面。“沒有用於IR服務的預算金，可能會在遭遇勒索軟體事件時遇到拖延問題，從而造成更大的業務中斷、客戶流失和聲譽損失。”

5.重置成本

在判斷潛在脆弱資產的重置成本時，許多企業對哪些系統可能受到破壞或惡意軟體的影響採取了明顯短視的看法，僅將替換限制在最脆弱的系統上。Zafar說:“從資金的角度來看，這造成的損失遠遠超過了任何組織的預期。當然，這還取決於網路安全入侵的範圍。”

最近盛行的居家辦公方式增加了重置成本的負擔。忽視對脆弱的家庭系統的更換或升級會招致災難。Zafar警告說:“如果家庭系統受到影響，即使組織最終解決了該問題，這些系統也可能會無意中重新招致公司的網路漏洞。”

6.網路安全培訓

許多最嚴重的網路安全風險源自內部。Miller Canfield律師事務所負責網路安全和資料隱私業務的律師雅各布·柯林(Jacob Koering)說:“許多公司承認，員工的行為是一個主要的風險來源。然而，同樣是這些公司，它們的資金預算嚴重不足，甚至忽視了員工培訓和內部威脅需求。”

Koering說，一個執行良好的網路安全專案可以讓員工意識到他們的網路安全義務，並通過內部監控加強這種意識，從而讓惡意行為者被迅速發現並抓獲。

7.網路保險

許多企業還沒有意識到網路保險的必要性，這一疏忽可能會帶來可怕的財務後果。北卡羅萊納-格林斯博羅大學(University of North Carolina-Greensboro)管理系教授尼爾•謝特里(Nir Kshetri)表示:“具有諷刺意味的是，儘管網路威脅日益增長，許多公司卻沒有為網路保險做預算。”他經常就安全和加密貨幣問題撰寫和發言。他指出:“截至2020年，美國只有不到20%的小企業購買了網路保險。”

Kshetri警告說，如果沒有網路保險，組織可能無法保護自己免受與網路攻擊相關的重大損失。除了保護企業免受潛在的毀滅性財務打擊外，簡單地申請網路保險還可以帶來更強大的網路安全基礎架構。因此，網路保險承保過程可以幫助(組織)發現網路安全漏洞，並提供改進機會。（本文出自SCA安全通訊聯盟，轉載請註明出處。）