网络威胁日趋复杂,企业想要保护好自身宝贵的数字资产就需采取主动,积极进取。随着越来越多的数据和IT系统搬上云端,围绕内部数据中心设置虚拟护墙的传统方法日渐落伍。尤其是在领导层仔细审查每一分钱有没有用在刀刃上的时代,安全团队必须确保自己投资的解决方案能切实构筑网络韧性。
获得上佳投资回报率(ROI)并不单单落脚于采购最新的技术和工具。企业可以通过下列五个步骤发挥网络投资的最大价值,实现全面且有效的网络安全战略。
企业必须在投入资源之前先明确自己对网络安全投资有何期望。无论技术上有多先进,任何工具的功效都取决于其部署背后的战略。企业必须制定明确而切实的目标,比如提高网络透明度、抵御勒索软件,或者缩短事件响应时间。只有设置了明确的目标,资源分配才会更具目的性和战略性。
了解当前网络安全状态是加以提升的第一步。可以询问如下问题:面临的最大威胁有哪些?哪些组织资产是这些威胁的目标?攻击者最喜欢用来渗透防线的途径是什么?根据这些问题的答案制定可量化的网络风险评分。这一过程中可以参考一些权威机构给出的框架,比如美国国家标准与技术研究所(NIST)创建的那种。此外,实现工具并实施最佳实践,据此深入了解网络的架构,识别潜在漏洞和整体网络连接。然后就可以实现正确的解决方案来减少风险并构筑韧性了。
网络安全绝不应当孤立运作。只要安全目标与企业的愿景协调一致,获得包括高管和董事会在内的高级管理层的支持就会相对容易一些。将安全目标纳入总体业务目标可以营造出责任共担和集体参与的氛围,能够简化安全规程的实现并增强其影响。必须将安全作为增长促进因素而不仅仅是必要的成本中心。
快速修复或万能解决方案的诱惑力令人难以抗拒,但这种解决方案也是不现实的。衡量安全投资的有效性时应制定切实可行的KPI。确定现实的评估期(比如六个月),在这个评估期内达成具体的重要成果,可以为衡量回报率和评估影响提供明确的时间窗口,使企业能够根据数据做出更明智的未来决策。
企业应审查能应对各种安全挑战的解决方案,要求供应商提供证据和演示来证实其说法,并积极讨论供应商如何在时限内支持组织目标。出自权威机构的第三方评估和测试,比如佛瑞斯特研究所和Gartner这样的分析师公司或者Bishop Fox之类渗透测试公司,可以为供应商的说法再添一层可信度。
综上所述,网络安全不是一次性的,这是一项持续性工作,需要定期检查、更新和团队协作。网络安全不仅仅是保障企业安全,还关乎企业从短期到长期的业务成功。
所以我们需要充分发挥网络安全投资的最大效能,尤其是在经济不确定性凸显,高级领导层严密审查每一分支出并期望获得最大投资回报的时期。遵循上述五个步骤可以确保投资符合企业的特定需求,实现真正的价值。
* 本文为nana编译,原文地址:https://www.darkreading.com/cyber-risk/maximize-cybersecurity-returns-5-key-steps-to-enhancing-roi
图片均来源于网络,无法联系到版权持有者。如有侵权,请与后台联系,做删除处理。
原文始发于微信公众号(数世咨询):CSO请注意:这五个步骤可以大幅提升网络安全投资回报率
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论