如何做好网络安全预算：通过ROI显示安全投入价值

星云数世咨询

对于网络安全的工作人员而言，“ROI”无疑是一个尴尬的问题：安全解决方案确实有一定的回报——但是只有在勒索病毒攻击或者信息泄露事件发生以后才能看出来。

就和测试降落伞，或者其他新型安全措施一样，对安全人员而言，通过现场展示解决方案的有效性并不那么轻松。

到之前的一段时间为止，证明安全投入的ROI情况还不是一个很严重的问题。媒体的头条消息解决了很多问题：新闻文章和在线报告对最近泄露事件、勒索病毒攻击或者软件漏洞的报导证明了进一步的安全能力需求，来降低自己成为下一个“头条”的风险。但是，这只是在远程办公进行之前的情况。

ROI涉及到了哪些人？

尽管说安全的重要性已经逐渐被董事会所明白，但是预算始终被卡得很紧。在远程办公大范围普及前就已如此；而现在可能会为了那些确实需要回办公室工作的人员，进一步升级工作场所的物理安全，使得预算变得更为紧张。

CISO和CTO在进行安全工程的决策时，需要频繁地沟通并讨论如何平衡风险和成本，并制定预算。安全始终是必须要考虑的，但企业现在需要评估风险，并且将公司内的风险进行不同等级的区分。

CISO和CIO之间的关系对确保企业的安全等级非常关键。诚然，CISO的思路会有所不同，但是只是列举一些静态的数据并不足够。企业的领导不仅想确保安全方案确保他们避免了攻击，还希望能使得他们的业务变得更有效率。

建立安全评估

安全需要可以被评估，并且能成果驱动，而不只是在防范了泄露事件发生之后才被证明有效。为了达到这个目的，需要评估的就不只是安全信息；来源于设备、网络、外部资源的所有数据都需要提炼后，从安全层面体现出商业价值，表现其ROI。

幸运的是，现在已经有一些看待安全ROI的领域了。尽管说依然没有完美的解决方案，但是考虑到风险和之后一系列的结果，建立一定的交流有利于支持未来的安全投入。

建立一个ROI模型需要一定的时间，第一步建议着重在一个简单，却能给企业带来高价值的安全项目上。如果能够显示出回报是有可能的，能帮助团队发展出更复杂解决方案的模型。

通过安全意识显示ROI价值

安全意识在组织中尤为重要，勒索病毒、数据泄露和其他一些攻击都是从安全意识的缺乏入手的。BEC攻击越来越多，甚至根据某些报告，2019年在美国的网络犯罪中，近50%的损失都是由BEC造成的。

安全软件无法总是防范BEC，这种类型的攻击往往更智能且准确选择目标，意味着有更大可能性进入到用户的收件箱里。平均而言，根据JAMA Network Open在2019年的报告，35%的用户会点击到钓鱼链接。

这些数据代表着企业需要将安全意识培训计划作为任何安全项目的一部分，从而减少未来的BEC风险。但是安全意识的成本和收益又能如何显现呢？

基于这个数据，我们假设渗透测试成功钓到了350名用户。如果这是在现实环境中发生，这些用户可能已经每次点击都造成了75,000美元的损失。而普通的在线安全意识训练可能才平均一人几美金，显然是物超所值的。

意识训练是一个很直接的例子，而其他IT项目的安全ROI可以从给终端安全加入一些功能、使用加密技术、或者更安全的Wi-Fi认证等方式开始建立。

需要注意的是，在ROI流程被大部分人更好地了解之前，尽量避免进行一些复杂的项目。只通过技术数据和成果很难让安全团队清楚地显示业务价值，造成安全项目难以维系，甚至直接被取消。

完善安全ROI

完整的安全ROI需要综合商业风险，建立大量的项目，基于成熟度为未来的投入提供帮助。可以用以下方式进行：

以上三点只是一个不错的开始点，并不是建立安全ROI的全部内容。另一个关键要点，在于在全公司建立安全KPI意味着企业管理都在所有的项目中需要作出最佳决定。

尽管说建立并理解安全ROI会比较困难，但是这个过程需要从明确的小项目开始。一开始不可能100%准确的，需要随着时间的推移，在更多数据的帮助下改进模型，从而显示安全ROI对业务的价值。

关键词：安全管理；安全预算；安全意识；