CSO请注意:这五个步骤可以大幅提升网络安全投资回报率

Anna艳娜2024-02-27 17:38:06

网络威胁日趋复杂,企业想要保护好自身宝贵的数字资产就需采取主动,积极进取。随着越来越多的数据和IT系统搬上云端,围绕内部数据中心设置虚拟护墙的传统方法日渐落伍。尤其是在领导层仔细审查每一分钱有没有用在刀刃上的时代,安全团队必须确保自己投资的解决方案能切实构筑网络韧性。


获得上佳投资回报率(ROI)并不单单落脚于采购最新的技术和工具。企业可以通过下列五个步骤发挥网络投资的最大价值,实现全面且有效的网络安全战略。


1确定目标


企业必须在投入资源之前先明确自己对网络安全投资有何期望。无论技术上有多先进,任何工具的功效都取决于其部署背后的战略。企业必须制定明确而切实的目标,比如提高网络透明度、抵御勒索软件,或者缩短事件响应时间。只有设置了明确的目标,资源分配才会更具目的性和战略性。


2全面风险评估


了解当前网络安全状态是加以提升的第一步。可以询问如下问题:面临的最大威胁有哪些?哪些组织资产是这些威胁的目标?攻击者最喜欢用来渗透防线的途径是什么?根据这些问题的答案制定可量化的网络风险评分。这一过程中可以参考一些权威机构给出的框架,比如美国国家标准与技术研究所(NIST)创建的那种。此外,实现工具并实施最佳实践,据此深入了解网络的架构,识别潜在漏洞和整体网络连接。然后就可以实现正确的解决方案来减少风险并构筑韧性了。


3在总体业务目标中融入网络安全目标


网络安全绝不应当孤立运作。只要安全目标与企业的愿景协调一致,获得包括高管和董事会在内的高级管理层的支持就会相对容易一些。将安全目标纳入总体业务目标可以营造出责任共担和集体参与的氛围,能够简化安全规程的实现并增强其影响。必须将安全作为增长促进因素而不仅仅是必要的成本中心。


4设置贴合实际且可衡量的关键绩效指标(KPI)


快速修复或万能解决方案的诱惑力令人难以抗拒,但这种解决方案也是不现实的。衡量安全投资的有效性时应制定切实可行的KPI。确定现实的评估期(比如六个月),在这个评估期内达成具体的重要成果,可以为衡量回报率和评估影响提供明确的时间窗口,使企业能够根据数据做出更明智的未来决策。


5彻底评估供应商


企业应审查能应对各种安全挑战的解决方案,要求供应商提供证据和演示来证实其说法,并积极讨论供应商如何在时限内支持组织目标。出自权威机构的第三方评估和测试,比如佛瑞斯特研究所和Gartner这样的分析师公司或者Bishop Fox之类渗透测试公司,可以为供应商的说法再添一层可信度。


综上所述,网络安全不是一次性的,这是一项持续性工作,需要定期检查、更新和团队协作。网络安全不仅仅是保障企业安全,还关乎企业从短期到长期的业务成功。


所以我们需要充分发挥网络安全投资的最大效能,尤其是在经济不确定性凸显,高级领导层严密审查每一分支出并期望获得最大投资回报的时期。遵循上述五个步骤可以确保投资符合企业的特定需求,实现真正的价值。


网络安全投资
本作品采用《CC 协议》,转载必须注明作者和本文链接
本周在旧金山举行的年度RSA大会上,德克萨斯州一家名为HiddenLayer的小公司因其承诺监控对抗性 ML 攻击技术算法的技术获得了“最具创新性的初创公司”奖。
但尽管有所下降,这一数字仍然远远超出疫情前的总额。同时,该行业对AI的高度关注与这一技术将给行业带来的新发展只会放大投资人的兴趣。但其他领域也迎来了较大增长。同时,其他市场则出现了大幅下跌。关注重点转向AI只会在2023年继续推动网络安全行业发展。今年的RSA大会绕不开这个话题。去年的早期阶段融资交易为516起,增长近20%,总额达15亿美元。
作为专注于网络安全方向的产业投资机构,奇安投资结合宏观环境与奇安投资的实践认知,总结了对网络安全产业发展、创业创新的观察,希望联合业界共同推动建立良性发展的生态体系。
Securonix落袋10亿美元成长投资。这是去年11月以来第二笔破10亿美元的融资交易,预示着2022年可能是网络安全行业又一破纪录的投资大年。
根据业内首家专注网络安全投资银行Momentum Cyber最新发布的2022年网络安全市场投资半年报告,2022上半年,全球风险投资资金持续涌入网络安全市场。
谷歌践行美国总统拜登的网络安全行政令,阐述其推进美国政府零信任计划的工作
网络威胁日趋复杂,企业想要保护好自身宝贵的数字资产就需采取主动,积极进取。随着越来越多的数据和IT系统搬上云端,围绕内部数据中心设置虚拟护墙的传统方法日渐落伍。尤其是在领导层仔细审查每一分钱有没有用在刀刃上的时代,安全团队必须确保自己投资的解决方案能切实构筑网络韧性。
董事会和高层管理人员对网络安全的错误提问,导致糟糕的投资决策。Gartner 预测表明,在网络安全方面的支出在放缓,2018年,网络安全复合增长率为12%,到2023年,降到只有7%。Gartner的客户也报告说,给董事会提交了多年的网络安全季度报告后,董事会现在开始犹豫,要求改进数据,了解多年的大力投资之后,都完成了哪些目标。
仅谷歌就承诺在五年内投资超过100亿美元并培训10万人。微软新的网络安全支出的一部分集中在解决公共部门内的这个问题上。ISACA最近发布的2021年网络安全状况调查收集了全球3,600名信息安全专业人员的回复,发现61%的受访者表示他们的网络安全团队人手不足;55%的受访者表示他们的网络安全职位空缺。
管理和预算办公室(OMB)和美国国家网络总监办公室(ONCD)将审查政府部门对这些网络优先事项的反应,同时确定潜在差距和可能的解决方案来弥补这些差距。此外,这两个部门将协调向其他政府部门提供反馈,说明其网络优先事项是否得到充分解决并与整体网络安全战略和政策保持一致。
Anna艳娜
暂无描述