您的企业网络安全预算能覆盖所有的关键内容吗?下面我们来看看预算规划者经常最小化或忽略的7项开支。

预防网络攻击的成本几乎总是比在网络攻击发生后修复损失的费用要低。尽管如此，许多企业在编制网络安全预算时仍会遗漏一些关键内容，这可能会使企业遭受重大的财务损失。

每个组织，无论其规模大小或重点如何，都应该制定一个合理、准确的网络安全预算。乔治亚州肯尼索州立大学信息安全与保障教授胡马雍•扎法（Humayun Zafar）说:“预算为几乎所有事情都带来了实用性。”

Zafar指出，尽管企业为保护系统和资源竭尽全力，但网络安全威胁事件仍在不断发生并迅速增长。他警告说:“预算的增长速度不能与这些威胁的发生速度相提并论。因此，组织必须对网络安全进行明智的投资。在不能确保所有内容的安全时，确定预算的优先级至关重要。”

这里有七个关键的网络安全预算项目，规划者经常忽视或未能实际解决。

1.招聘和留住员工

许多组织无视长期趋势，低估了雇佣和保留熟练网络安全专业人员的成本。商业咨询公司EY Consulting的网络安全负责人卡罗琳•施赖伯(Carolyn Schreiber)表示:“在过去几年里，合格的专业人士与成倍增长的工作岗位之间的差距一直在扩大。竞争依然激烈，人才大战仍在继续。”因此，许多组织发现他们在努力招聘和留住合格的网络安全专家时，自己的招聘预算会超支。

商业咨询公司德勤风险与财务咨询公司的美国网络与战略风险主管黛博拉•戈尔登（Deborah Golden）指出，早在2019冠状病毒大流行之前，网络安全人才就一直短缺。“如果你的组织能够招聘到有技术的网络人才——即使你打算永远远程聘用这些人才——果断去做吧，”她敦促道。

2.云支出

SAP国家安全服务(National Security Services，NS2)的首席信息官Ted Wagner说，与网络安全相关的云开销经常被低估或者管理不善。他指出：“通常，云计算的花费不是集中的，组织中的许多部门在没有适当控制的情况下就开始在云环境中进行测试或开发。”在云服务上的过度花费可能会使原本被认为是廉价的、甚至是节约预算的项目变成严重的财务负担。

云预算应反映实际定价，同时预计各个业务部门试用和测试时基于云的安全工具的额外费用。Wagner警告称："在大型组织中，这些增量可以使成本迅速增加。

3.第三方建议和分析

企业经常忽视对第三方漏洞测试的预算，以及顾问对管理人员和员工提出潜在网络威胁建议的预算。国际律师事务所Reed Smith的网络安全合伙人莎拉•布鲁诺(Sarah Bruno)律师表示:“在这里，增加预算是件好事，这样你就可以从不止一家公司寻求帮助，确保得到全方位的建议。”

一个组织可能会拒绝为多个外部洞察支付额外的费用，因为它对当前的网络安全环境完全有信心，或者因为它每年都在一个固定的预算下与同一个安全顾问合作。然而，这样的推理通常是短视的。Bruno说:“最好有来自不同安全公司的意见，特别是对于更敏感的数据，以帮助发现新的威胁，并确保您拥有适当的技术，行政和物理保障措施。”

4.事件响应

网络安全审计和测试公司Kirkpatrick Price的Joseph Kirkpatrick说，事故响应(Incident response，IR)是网络安全中一个通常被忽视的需求，尤其是在预算方面。他指出，当企业因数据泄露而受害时，一个精心计划的IR战略可以拯救组织免于潜在的毁灭性的财务损失。“花时间雇佣和培训一个负责事故反应的团队会有回报的，”Kirkpatrick建议。

管理公司博思艾伦(Booz Allen Hamilton)负责网络安全策略的副总裁鲁迪•巴卡洛夫(Rudy Bakalov)表示，尽管存在固有的风险，很多企业未能对IR费用进行现实的预算。“在媒体上有大量的组织，即便具有成熟的安全程序，仍然被破坏的例子。很难理解为什么组织不为间接成本制定更好的计划，比如……保留/培养IR能力。也许他们认为自己的组织太大或太小，不可能成为攻击目标，或者他们在赌这种事不会发生在自己身上。”

博思艾伦咨询公司(Booz Allen Hamilton)商业网络业务负责人克里斯托弗•史密斯(Christopher Smith)补充称，未能解决诸如IR之类的间接网络安全成本所带来的后果，与不充分考虑直接成本一样重要，尤其是在事件响应方面。“没有用于IR服务的预算金，可能会在遭遇勒索软件事件时遇到拖延问题，从而造成更大的业务中断、客户流失和声誉损失。”

5.重置成本

在判断潜在脆弱资产的重置成本时，许多企业对哪些系统可能受到破坏或恶意软件的影响采取了明显短视的看法，仅将替换限制在最脆弱的系统上。Zafar说:“从资金的角度来看，这造成的损失远远超过了任何组织的预期。当然，这还取决于网络安全入侵的范围。”

最近盛行的居家办公方式增加了重置成本的负担。忽视对脆弱的家庭系统的更换或升级会招致灾难。Zafar警告说:“如果家庭系统受到影响，即使组织最终解决了该问题，这些系统也可能会无意中重新招致公司的网络漏洞。”

6.网络安全培训

许多最严重的网络安全风险源自内部。Miller Canfield律师事务所负责网络安全和数据隐私业务的律师雅各布·柯林(Jacob Koering)说:“许多公司承认，员工的行为是一个主要的风险来源。然而，同样是这些公司，它们的资金预算严重不足，甚至忽视了员工培训和内部威胁需求。”

Koering说，一个运行良好的网络安全项目可以让员工意识到他们的网络安全义务，并通过内部监控加强这种意识，从而让恶意行为者被迅速发现并抓获。

7.网络保险

许多企业还没有意识到网络保险的必要性，这一疏忽可能会带来可怕的财务后果。北卡罗莱纳-格林斯博罗大学(University of North Carolina-Greensboro)管理系教授尼尔•谢特里(Nir Kshetri)表示:“具有讽刺意味的是，尽管网络威胁日益增长，许多公司却没有为网络保险做预算。”他经常就安全和加密货币问题撰写和发言。他指出:“截至2020年，美国只有不到20%的小企业购买了网络保险。”

Kshetri警告说，如果没有网络保险，组织可能无法保护自己免受与网络攻击相关的重大损失。除了保护企业免受潜在的毁灭性财务打击外，简单地申请网络保险还可以带来更强大的网络安全基础架构。因此，网络保险承保过程可以帮助(组织)发现网络安全漏洞，并提供改进机会。（本文出自SCA安全通信联盟，转载请注明出处。）