安全性为何您的安全预算或许会浪费在错误的威胁上

Executive Summary

如果您将大部分安全预算都用来保护网络(而非应用),那么您可能会让公司面临过高的风险。多数公司都根据“传统投资”支出预算,而不是在风险转移时进行转移。因此,已知供应商的现有支出很容易获得批准,在难以定量和向管理层销售的风险不断变化的领域,可能存在投资不足的情况。安全性就是定义公司对风险的接受程度,以便您可以据此证实投资的合理性。

Executive Summary

如果您将大部分安全预算都用来保护网络(而非应用),那么您可能会让公司面临过高的风险。多数公司都根据“传统投资”支出预算,而不是在风险转移时进行转移。因此,已知供应商的现有支出很容易获得批准,在难以定量和向管理层销售的风险不断变化的领域,可能存在投资不足的情况。安全性就是定义公司对风险的接受程度,以便您可以据此证实投资的合理性。

您的 IT 安全预算分配够明智吗?

如果您将大部分安全支出用在网络周边,而牺牲应用安全和身份管理,那么您的比例分配可能不当。

近 25% 的公司指出应用是数据泄露的主要来源,但半数以上企业花费在应用安全上的 IT 预算比例仅为 1% 甚至更少,或者他们根本不知道花费了多少

25%的公司指出应用是数据泄露的主要来源,但半数以上企业 (51%) 花费在应用安全上的 IT 预算比例仅为 1% 甚至更少,或者他们根本不知道花费了多少。近四分之三 (74.5%) 的公司承认其应用安全计划不够成熟。

还有用户身份的问题。根据与您谈论的人,被攻击的身份或许就是数据泄露的最主要原因。

74.5%

近四分之三 (74.5%) 的公司承认其应用安全计划不够成熟

面对这些统计数据,很难相信大多数公司仍将其大部分 IT 安全资金投入网络周边保护上。如果贵公司是这些公司之一,您需要对此给予足够的重视。

您的网络周边可能在很大程度上是虚构的

由于移动设备的兴起和基于云的应用的普及,您的周边可能漏洞百出。您现在有几百个、甚至几千个易受攻击的用户遍布全球,他们在大多数无保护设备上使用众多应用访问您的数据。基于云的应用有多普及?80% 的企业在云中托管应用,20% 的企业计划在今年从云端提供半数以上的应用。到 2018 年,世界各地将有超过 120 亿台移动设备在使用。随着您的应用无处不在,您的用户可以通过任何设备联网,您的传统周边已经不复存在。

那么事实是,身份和访问管理正变得越来越复杂。无论您的应用是在内部、在私有云还是公有云中,或者是软件即服务 (SaaS),它们都需要身份验证。企业平均有 700 个应用在使用。这是官方数字。您的用户会对密码心生厌倦,IT 将会疲于管理身份蔓延和访问问题。

事实上,如果网络犯罪分子发现自己被您的网络阻拦,他们将会欺骗一个易受骗的用户或渗透一个易受攻击的 Web 网络应用。安全的根本性质已发生了变化。

四步重新调整 IT 安全支出

您能怎么做呢?我们将以您按顺序采取以下四个步骤。

Related

四大云盲点

1 步:列出您的保护优先顺序

IT 正式开发或部署的应用相对容易审查,但请务必查看经常被忽视的 SaaS 应用。然后,确定您的员工正在使用的所有影子 IT 应用,并评估其对贵公司的风险。这些都不容易发现。您可以检查您的业务部门,查看 Web 过滤软件的日志,以及审核与 SaaS 提供商签订的法律合同,但这是一个耗费人工的过程。此外,您还应该优先考虑您可以识别的任何应用,并保护那些会让您最易受攻击的应用。

2 步:查看预算是否花费在正确的威胁上

您的 IT 安全资金支出在哪些方面?贵公司可能是朝着正确方向发展的企业之一,但如果您发现您的高级管理层非常关注合规性,以至于错过了与应用和身份扩张相关的最重要的漏洞,那么请开始建立您的案例。记录您的发现,以便您能够识别支出不足或超支的方面。

3 步:就您的发现进行讨论

让高级管理层和董事会了解您的发现,向他们解释在其当前的资金支出与需要保护的方面之间存在差距。提出具体建议,并准备好提出建议投资的成本效益分析,以获得所需的资金。您可能需要投资于身份和访问管理、应用安全管理和高级防火墙解决方案等方面。

4 步:实施控制,并展示您如何管理威胁

记录并跟踪您如何花费所获得的额外资金,同时向董事会和高级管理层提供基于事实的报告,说明工作的进展情况。但即使这样,您仍然可能被攻击,因此请购买网络保险,并与紧急事件响应 (IR) 公司建立合作关系,以便在发生数据泄露时,可以及时采取行动,减少损失。

做出明智的选择

当然,您永远无法全部解决列表中的每一个漏洞。您可能会发现消除一些风险的成本大于与它们共存的成本。向高级领导者表达您的想法,并明确说明您处理所有风险的计划,无论您是否选择规避风险。让他们分担责任,确定在这个全新无边界世界中资金使用的优先次序。

您可能还会喜欢