3

安全违规的真正成本

 2 years ago
source link: https://www.51cto.com/article/716300.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

安全违规的真正成本-51CTO.COM

安全违规的真正成本
作者:茉泠 2022-08-13 13:11:45
在阐明安全方案的重要性时,安全人员应该掌握一些简单的步骤,以从业务的角度来展现风险的严重性。
f619c1812794ed9e4b8235594c0f4b30a84cc2.png

关于安全违规成本的文章有很多。并且随着隐私法规的发布,我们根据企业的盈利或对每个攻击记录的价值进行计算,就可以计算出安全违规的成本。然而,这些硬数据似乎还不够详细,以至于无法使许多安全专业人员信服。

许多网络安全专业人员的推测都进行了一个不必要的转变,即从最初的可量化到如今不正确的概念。特别是,每当谈及数据泄漏成本时,名誉受损的话题总不免被提起。然而,许多c级的高管都将其视为耸人听闻的策略、边缘政策、空洞的威胁,或者说这本就是理所应当的。没有什么能够比无法估量的威胁更能转移人们对重要消息的注意力。

纵观历史,发生过的许多灾难都比隐私信息泄漏要更加严重,另一方面,也出现过一些几乎不受其影响的比较负责任的公司。而那些由于失误甚至造成人员伤亡的公司,如今也依然在蓬勃发展。在这里没有必要指明具体的名字和事件,因为这对我们来说都再熟悉不过了。同时,从纯粹的网络安全角度来看,即便那些代价最高的攻击,持续成功也都是显而易见的。

关键是,公司的名誉将会受到市场因素的影响,例如其偿付能力以及以往的声誉。当我们作为安全专业人员进行煽动性和危言耸听的猜测时,我们也就淡化了自己易掌握信息的重要性。讽刺的是,我们所损害的往往可能是我们自己的声誉。

人们经常说,安全专业人员不懂“业务语言”。这一直很令人费解,因为它对于纯技术人员来说并没有意义。然而,在阐明安全方案的重要性时,安全人员应该掌握一些简单的步骤,以从业务的角度来展现风险的严重性。

心理学家的原则是“在客户的所在地与之会面”。这意味着,为了真正了解客户,我们必须站在他们的角度来考虑其存在的问题。商业上也是如此。对于大多数企业来说安全并不是首要目标。最重要的目的往往是赚取足够的钱来维持企业的运转。你的生意是如何取得成功的呢?当试图获取资金或安全方案时,进行投资回报计算(ROI)是非常必要的。

在许多安全项目中,实现准确的ROI计算是非常困难的。组织往往无法预测自己需要预防确切攻击的数量。然而,当涉及到违规成本计算时,事情就变得比较容易了,但同时也仍需要花费一定的精力。

金融公司的记录与非营利组织或医疗机构的记录有很大的不同。在某些情况下,记录可能存储在完整性状态不同在的多个系统中。为了数据的值进行量化,组织必须对所有数据的所在地以及其所包含的内容进行清点。

在某些情况下,一个系统所包含信息有限,因此一旦其遭到破坏,那么这些记录都将变得毫无价值。在其他情况下,系统中可能包含着如个人身份信息(PII)等有价值的数据,而卫生保健系统,则包含着有价值的医疗数据。数据分类可以为该数据的优先级进行赋值,但为了更好地向董事会提出安全预算的案例,我们就必须为该数据分配真正的货币层次上的价值。这可以根据现有媒体报道和行业报告中的许多基准来实现。

了解电子表格

来自其他安全漏洞的比较信息应与业务相关的监管制裁一起提交。例如,如果企业遵守GDPR,那么处罚将与该组织的年度利润有关。如果业务受到CCPA的约束,那么将涉及对每次违规的处罚。如果组织同时受到多个规则的限制,那么这些都应该包括在内。当为系统收集这些相关数据,以及潜在记录的数量时,一个清晰的商业图景就逐渐显现出来了。例如,一个具有全球影响力的组织可以用以下方式来表示:

图片

从简单移动到复杂移动

在演示数据价值时,最好先从价值小的记录开始演示,然后逐渐过渡到价值大的记录,这样可以展现出违规成本不断增加的趋势。在传递信息的同时,可以衡量一下整体的注意力情况,并在观众可接受的范围内调整演示内容。同时,还应该强调,首次攻击不会受到 处罚。相反,对此的惩罚是根据其影响因素来进行评估的(比如重复冒犯)。需要记住的是,这里的重点是要传达业务信息,而并非是要散布恐惧或威胁。

扩展到外设安全方案

即使组织已经正确地完成了所有事项,但其仍然有可能会存在一些缺陷需要进一步改进。例如,尽管所有敏感数据均已被加密,但组织却无法完全控制其所有加密密钥,那么这个时候组织就需要建立一个密钥管理平台。或者,倘若组织在不断追踪配置漂移,那么就很有必要去购买一个配置管理系统。

遵守这些指标,避免产生轰动效应

如今,人们能够比以往任何时候都更有能力,去准确地追踪安全指标。追踪所有的数据,然后将之与其真正的价值联系起来,这需要花费大量的精力。这是因为它与组织具体的业务相关联。但最终,比起对声誉受损进行空洞的预测,它将获得更多的支持。同时,这些指标本身就很显著。感觉主义对我们的服务来说,并无多大益处。

企业通常很难估量网络威胁所能带来的具体损失,但却可以根据一定的指标来估算出网络安全违规的成本。因而,安全的违规成本往往反应了相关安全威胁的严重性。反之亦然,安全威胁的严重程度越大,企业需付的相关成本也就越高。

准确有效地向组织各层级展现威胁的重要程度,可以帮助组织识别优先事项,将有限的财力与精力用在“刀刃”上,从而更好地实现成本效益最大化。其中最关键的是,对于不同的组织,威胁所影响的业务,以及业务的具体价值都会受到不同因素的影响。

因此,安全人员需要从实际出发,结合具体影响要素来向阐明不同威胁对业务的影响程度,即严重性。


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK