评估企业安全工具效能的时候,怎么找出最合适的模型来计算“安全投资回报”(ROSI)很是令人头疼。
仅仅几年之前,安全事件的潜在损失还主要是公司声誉相关的经济损失,只有极少数案例有高额法律费用或服务长期中断相关的损失。但随着GDPR和其他国际性法律引入了新的罚款,以及过去几年里安全入侵事件在数量和复杂度上的增长,评估安全事件发生的可能性及其影响变得越来越迫切,且需要更为健壮的安全投资衡量与评估。
找出物超所值的方法
现实世界中最流行的安全预算部署模式就是基于简单的成本核算——看看能从预算中每一分钱上得到什么。这是一个很不错的预算分配起点,但要让这个简单的方法起效,就需要评估其中“收益”的部分了,而这里正是更为棘手的地方。
为给安全“价值”应用上财务模型,我们可以考虑设置一个试图缓解尽可能多的风险的目标,最好就是达到新增安全控制的成本与能从安全事件中额外省下的可能价值相当的程度。这就是基础控制这样的概念能令该问题易于处理的地方。通过识别可衡量的控制措施(尤其是有业界支持的那些,比如为PCI合规而开发出来的),工具和过程都能按可衡量的“每件”成本加以评估和实现。
这些基础控制为你提供了安全套装中的一部分——旨在为IT系统打造护盾的预防性机制。
投资监测工具
但平衡的安全应用组合远不止基础控制。用以检测安全违规发生情况的检测控制投资也在增长,因为不存在能完全阻止所有入侵的绝对安全。此类工具可以监测工具的形式出现,辅助确定系统是否真的被攻击,如果被攻击,再通过分析日志文件和审计跟踪确定攻击的类型和程度。
除了预防性工具和监测工具,安全解决方案中还有过程相关的成本。IT安全策略和流程应旨在响应可疑安全事件,为维护和安全培训等其他服务提供支持。另外,考虑所有这些安全投资的同时,还可以开始评估有多少技术响应可以自动化执行或手动执行。
评估人力因素
安全行为背后还有人员技术要求。最好的自动化工具也需要维护和安全数据分析才会有用。所以,就算自动化是提升安全解决方案成本效益的重要部分,却没几家公司会估测这些自动化技术的真正回报。防火墙丢弃掉的数据包很难等同于安全收益,但不妨对比一下DDoS攻击所致连接变慢的风险和先期购置该带宽的成本。
应用到垃圾邮件上的另一套评分机制可以解释“浪费掉的时间”。数字可能会很大,反映的是成功垃圾邮件识别和拦截的数量,可以转化成对生产力的辅助。每个员工少处理一封垃圾邮件,日积月累下来,数字也会很大的。
最后,健壮的指标也能说明垃圾邮件场景中撤回误报的服务台时间,以及终端用户邮件被延迟的损失。
于是,我们如何确保真正物超所值呢?
从让安全团队更具生产力和确保风险最小化的同时服务功能还可用的角度上看,提供可被转换成人力收益的指标的工具是个明智的起点。从旨在识别风险、提供恰当评估报告和评分以及缓解策略的工具和过程开始,意味着你能从仅仅评估威胁快速过渡到能够衡量投资良好安全的回报。