每个组织都需要斥地本身的持续性流程来评估需求并证实平安支出的合理性。以下是两名首席信息平安官 (CISO) 对此给出的建议。
[好文分享:www.ii77.com]
一个组织事实应该在收集平安方面破费几多?谜底很简洁:凭据具体情形而定。
影响组织具体破费的身分有好多,包罗公司所从事的买卖类型,其处理的小我或敏感数据或常识产权的类型,其面临的监管要求,其 IT 根蒂架构的复杂性,其成为恶意行为者冲击方针的或者性等等。
与 “一个组织应该在收集平安方面破费几多” 比拟,一个更为主要的问题或者是:“一个组织应该若何确定需要在收集平安方面破费几多?” 企业组织经由斥地持续性流程来确定适当的平安支出水平,对于有效珍爱系统和数据而言至关主要。
诸多身分鞭策平安支出
比来发布的一些研究申报展示了一些组织在平安方面的支显现状。CIO 网站于 2018 年 11 月针对全球 683 位 IT 高管进行的一项名为《2019 CIO状况查询》的申报显露,绝大多数受访者透露,IT 平安性支出只占有其公司IT总预算的 15%;近 1/4(23%)的受访组织将其 IT 总预算的 20% 或更多用于平安性方面。
查询还显露,企业规模似乎并不是一个主要的影响身分,因为就平安性占有 IT 总预算的份额而言,小型企业实际上与大型企业相差无几。而就行业而言,那些将预算的最高份额用于平安方面的行业首要有专业办事、金融办事和高科技范畴。
当被问及 “2019年哪些买卖规划将在鞭策其组织的 IT 投资中施展最主要的感化” 时,40% 的 IT 主管透露需要增加收集平安珍爱。紧随厥后的买卖规划还包罗提高响应的运营效率,改善客户体验,成长买卖、改变现有买卖流程以及提高盈利能力等等。
除此之外,凭据 IDG Communications 对全球 664 名 “以平安为重点” 的专业人员进行的另一项查询显露,近 2/3 (60%) 的企业组织规划来岁增加其平安预算,且平均增幅为 13%。
决意平安支出优先级的身分包罗最佳实践 (74%),合规性授权 (69%),响应组织发生的平安事件 (35%),董事会授权 (33%),以及响应发生在另一个组织的平安事件 (29%)。
国际数据公司 (IDC) 的收集平安产物项目副总裁 Frank Dickson 透露,一样来说,组织应该将其 IT 预算的 7% 到 10% 用于平安方面。然则,若是您的根蒂架构非常复杂或受珍爱的资产极具价格,那么您也能够将预算份额提高至 15% 或更多。同样地,在某些情形下,5% 的预算份额也或者是合适的。
平安公司若何确定其平安支出?
HITRUST(供应风险治理和平安办事的公司)首席信息平安官 Jason Taule 透露,在 HITRUST 公司,平安预算多年来一向连结不乱,这反映我们的向导团队始终致力于卖力看待平安和隐私问题,同时连结着一个充沛严谨的规划 “以解决公司自身面临的威胁以及合作伙伴和将数据托管在 HITRUST 的客户所面临的风险敞口。”
1. 提高运营效率可确保平安支出不乱
Taule 指出,“平安预算多年来一向连结不乱” 的事实或者有些误导。与大多数企业组织一般,我们仍然需要涵盖更普遍的威胁和风险敞口,但同时也要实现更高的运营效率。是以,为了连结预算不乱,这两方面需要互相协调。简洁来说就是,若是不提高运营效率,支出将逐年增加。
2. 掌握框架界说了政策和需求
为了匡助确定公司应该在平安方面破费几多,HITRUST 采用了一个掌握框架来界说它需要实施的手艺、治理和物理政策、法式以及亮点产物。
Taule 透露,我们还做了有关于持续监控的事情(这件事也是我们建议客户做的),而且已经实施了一些办法和指标来治理我们的平安规划。这里涉及到了治理问题,因为任何有关平安问题的决意都必需要有“反馈”,如斯一来,组织才可以验证该决意是否实现了预期的结果,或是凭据反馈信息和需求做出适当的调整。
3. 确定收益递减点
为了确定适当的支出水平,组织需要确定额外支出在降低风险方面所发生的边际收益(指增加一单元单子产物的发卖所增加的收益,即最后一单元单子产物的售出所取得的收益)的水平。这是组织能够展示其尽职查询的要害点,因为得出的这个水平水平是经由精心推理且可辩护的。
4. 一些平安支出是强制性的
很少有组织可以奢望完全由本身来决意在哪些方面花几多钱,大多数企业组织都面临着各类监管要求、客户盼望或是合作伙伴的特别要求,这些身分都邑发生一些额外的支出水平。
在某些情形下,至少在初始阶段,企业或者可以在其订价中反映出部门费用。但最终,除了最严厉的要求,其他所有要求都将成为客户进展企业支付的贸易成本。
有些组织或者比其他组织更正视平安和隐私问题,甚至或者选择将其作为与竞争敌手区分的窍门。是以,他们或者会选择在平安方面投入更多资金。
5. 进行反复性风险评估
在根基层面上,HITRUST 基于常规、按期和反复性风险评估回覆了在平安方面破费几多的问题。若是是风险没有发生改变,那么我们就不需要调整支出。若是我们得出的结论是,我们面临的是超出我们接管能力的风险水平,那么我们就需要对支出情形进行调整。主要的是要强调,在平安方面破费几多的问题没有萧规曹随的谜底。
科罗拉多州是若何实现平安支出增进的?
科罗拉多州本年在平安方面的支出为 2150 万美元(约占 IT 总支出的 6%),高于 2018 年的 1270 万美元(约占 IT 总支出的 4%)。据科罗拉多州州长办公室首席信息平安官 Deborah Blyth 称,这是该州当局有史以来最大的平安预算增进。
1. 建立一个框架来权衡平安成熟度
一样来说,很难确定投入几多钱是充沛的,以及适当的支出水平应该是几多。科罗拉多州采用了一个框架——20 大平安掌握(20 Critical Security Controls),并凭据该框架权衡平安成熟度。
然后,这种持续的成熟度评估被用于证实需要额外的资金,来实施额外的掌握办法和子掌握办法。若是资金阻碍我们周全实施这些子掌握办法,我们或者会将其添加到预算恳求中。诸如络续转变的机构需乞降当前面临的威胁等身分也在我们的预算恳求中。
2. 鉴于当前的威胁证实支出需求
例如,科罗拉多州交通部在 2018 年 2 月履历的平安事变严重影响了本年的预算恳求。缺乏充沛的资金推迟了需要的平安改善的实施,这些改善能够防止或减轻平安事件的影响,尽管这些起劲已经进行了多少年。今朝,科罗拉多州已经成功构建了买卖案例并提高了其资金水平,以便在本年完成已确定的平安改善方案。
3. 将支出与同业组织进行对照
科罗拉多州还使用了国度首席信息官协会 (NASCIO) 每隔一年发布的一项研究,以认识其平安投资与其他州的对照情形。这项研究表明,各州投入了 6%-10% 的 IT 预算用于平安方面。
相关阅读
若何避免平安项目投入中的“黑洞”
11条优化平安投入的绝佳建议
未知大陆将进一步开放合作生态,最大限度降低3D打印办事商经营成本,支撑其更好地办事于传统行业,普及3D打印手艺应用。2020年预发布招商政策如下,迎接更多3D打印办事商入驻到平
导读 方才,华为又迎来一个沸腾的时刻!近日华为上半年业绩发布:全球发卖收入4013亿元人民币。同比增进23.2%,净利润率8.7%。 个中,运营贸易务收入1465亿元,企业买卖收入为316亿元
快来收听极客头条音频版吧,智能播报由标贝科技供应手艺支撑。 「CSDN 极客头条」,是从 CSDN 网站延伸至官方微信公家号的稀奇栏目,专注于一天业界事报道。风里雨里,我们将天天
三大运营商在作废“不限量套餐”上杀青一致,均下达相关文件。 文 | 詹妮妮 一只辛格 整顿 | Kr Lab 点击上方「36氪随声听」,一键收听大公司热点新闻。听完音频记得添加进入 「我的
比来差评君身边发生了一件非常风趣的事情。 故事还要从这篇文章说起, 说来话长,差评君给人人简洁捋捋。 数码荔枝是一家软件发卖公司,老忠实实找斥地商拿发卖授权卖正版的那
比来看到一段非常惊艳的高清视频,一位艳丽的艺术体操活动员在如仙境的青海茶卡盐湖,跳了一段美丽的彩带表演。 而当我们赞叹这丝毫毕现的高清曼妙舞姿时,画面一转,本来这段
韩国5G成长速度再次超出业界预期。 6月12日,韩国5G用户数冲破100万。 8月8日,韩国5G用户数冲破200万。 8月24日,SKT公布其5G用户数冲破100万。 自4月3日规模商用5G以来,在短短5个月内,
Esther| 编纂 自Facebook AR部门主任Ficus Kirkpatr ick在客岁证实正在研发AR头显后,想必人人一向对照等候相关的斥地进度,尤其是跟着Facebook公布完成第一代VR产物线,以及成立AR买卖部门和
7月11日丨周一【Do说】 编纂 | 赵艾虎 瑞幸咖啡正式注册小鹿茶子公司,分拆传闻进一步验证 8月26日,小鹿茶(厦门)有限公司正式注册成立,其系瑞幸咖啡(中国)有限公司旗下全资子公司
点击▲存眷 “ CU手艺社区 ” 给公家号标星置顶 更多出色 第一时间直达 说到物联网应用的把持系统,就不克不提Linux,因为Linux系统是今朝物联网设备中应用最普遍的把持系统,之前我
本文内容来自网友供稿,如有信息侵犯了您的权益,请联系反馈核实
Copyright 2024.爱妻自媒体,让大家了解更多图文资讯!