去年又是重大數(shù)據(jù)泄露頻發(fā)的一年，安全問題成為了每家公司管理層肯定會(huì)考慮的事項(xiàng)之一。

安全相關(guān)的各種考慮中，最重要的或許就是到底要花多少錢才能在大范圍網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露時(shí)代有效保護(hù)公司數(shù)據(jù)了。

區(qū)分合規(guī)支出與恢復(fù)支出建立安全預(yù)算的第一步，就是區(qū)分安全相關(guān)支出的兩大主要門類：合規(guī)支出與恢復(fù)支出。

1. 合規(guī)支出是為滿足安全政策或規(guī)定而產(chǎn)生的預(yù)防性開支。

合規(guī)支出主要與預(yù)防措施相關(guān)，比如防火墻、安全軟件投資、員工培訓(xùn)項(xiàng)目等。

合規(guī)支出大部分都會(huì)編入預(yù)算，而公司預(yù)算中包含的合規(guī)支出數(shù)額最好來自于決策者對(duì)安全資源分配領(lǐng)域深思熟慮的結(jié)果。

2. 恢復(fù)支出則是由安全問題導(dǎo)致的開支。

恢復(fù)支出涵蓋較廣，包含了源于數(shù)據(jù)泄露或各類攻擊所致的全部開支，比如盜竊、勒索、商機(jī)喪失，還有為恢復(fù)信譽(yù)而做的公關(guān)努力。

為網(wǎng)絡(luò)攻擊做預(yù)算非常難，因?yàn)槠渌斐傻膿p失取決于多種因素，比如攻擊的嚴(yán)重性，以及公司是否做好了網(wǎng)絡(luò)攻擊恢復(fù)預(yù)案。

合規(guī)與恢復(fù)相比，前者明顯更好做也更可取，因?yàn)樗怯幸?guī)劃的支出，而且一般比恢復(fù)要便宜些。

企業(yè)安全數(shù)據(jù)交換解決方案提供商Globalscape表示，不合規(guī)的代價(jià)，或者說不遵從政策規(guī)定的后果，大大超過合規(guī)的成本。

合規(guī)開支高未必能降低恢復(fù)成本。

但是，更高的合規(guī)支出可以讓公司更好地避免恢復(fù)支出。

安全預(yù)算基于審計(jì)凡事預(yù)而后立，在往安全中投入任何資源之前，需對(duì)公司基礎(chǔ)設(shè)施中的全部安全終端進(jìn)行審計(jì)，確定自己預(yù)算的重點(diǎn)都在哪里。

進(jìn)行審計(jì)可以讓公司了解主要漏洞，認(rèn)清安全投資應(yīng)重點(diǎn)放在什么控制措施上。

比如說，如果你在審計(jì)中發(fā)現(xiàn)公司安全漏洞集中在糟糕的網(wǎng)絡(luò)管理上，比如雇員出差或在家辦公時(shí)經(jīng)常不用VPN連接公司系統(tǒng)，你就可以把你的預(yù)算落在解決網(wǎng)絡(luò)接入的缺陷上，比如重新配置設(shè)備，只允許經(jīng)由VPN或安全網(wǎng)絡(luò)連接公司系統(tǒng)。

安全預(yù)算要考慮安全人才短缺情況網(wǎng)絡(luò)威脅態(tài)勢(shì)引出了所有公司企業(yè)在制定安全預(yù)算的時(shí)候都需要考慮的兩大安全現(xiàn)實(shí)。

第一個(gè)就是網(wǎng)絡(luò)安全人才短缺，或者說當(dāng)前市場(chǎng)上合格網(wǎng)絡(luò)安全人才的缺乏。

第二個(gè)殘酷的現(xiàn)實(shí)是，隨著網(wǎng)絡(luò)罪犯人數(shù)的倍增和技術(shù)的改進(jìn)，公司企業(yè)遭受網(wǎng)絡(luò)攻擊的可能性也大大增加了。

因?yàn)槿狈Υ_切的解決方案，這兩個(gè)問題目前都相當(dāng)嚴(yán)峻。

網(wǎng)絡(luò)安全人才短缺的核心問題在于有能力的網(wǎng)絡(luò)安全雇員供小于求，誰都不能憑空造出大量人才來填補(bǔ)該領(lǐng)域的人才短缺。

而且，網(wǎng)絡(luò)罪犯的擴(kuò)張也沒有多少阻力，尤其是在當(dāng)今全球聯(lián)網(wǎng)的世界，很多攻擊都是在受害公司或組織的監(jiān)管范圍之外發(fā)起的。

這兩大威脅還相互促進(jìn)：網(wǎng)絡(luò)安全人才短缺增加了公司遭到網(wǎng)絡(luò)攻擊的幾率。

信息系統(tǒng)安全聯(lián)盟(ISSA)的研究表明，缺乏足夠的網(wǎng)絡(luò)人才，事實(shí)上給約20%的公司招致了網(wǎng)絡(luò)攻擊。

另外，網(wǎng)絡(luò)安全人才缺口在安全分析領(lǐng)域尤其大，這使得公司企業(yè)更加難以確定自身脆弱領(lǐng)域，不能有效標(biāo)定其安全投資。

基于此，公司企業(yè)應(yīng)將網(wǎng)絡(luò)安全人才短缺納入安全預(yù)算考慮之中。

如果不知道怎樣合理制定安全預(yù)算，可以求助網(wǎng)絡(luò)安全公司和安全顧問等外部資源。

雖然這些資源也是要花錢雇的，但在專業(yè)安全分析上的初始投資，最終將為你省去遭遇網(wǎng)絡(luò)攻擊的大筆恢復(fù)支出。

明智的預(yù)算催生健壯的網(wǎng)絡(luò)安全策略被大型網(wǎng)絡(luò)安全事件屢屢驚嚇的一年過后，安全預(yù)算應(yīng)成為公司企業(yè)2018重大事項(xiàng)之一。

為周全應(yīng)對(duì)未來一年可能遭遇的安全威脅，公司企業(yè)需要制定明智的安全預(yù)算。

恰當(dāng)?shù)陌踩A(yù)算來自于公司對(duì)安全相關(guān)的兩大主要開支的考慮：合規(guī)支出與恢復(fù)支出。

想要有效規(guī)劃合規(guī)支出，公司需了解當(dāng)前網(wǎng)絡(luò)威脅態(tài)勢(shì)的嚴(yán)重性，可進(jìn)行審計(jì)以發(fā)現(xiàn)公司最大安全漏洞，并將安全預(yù)算導(dǎo)引向補(bǔ)強(qiáng)這些短板上。

此外，公司還需對(duì)恢復(fù)支出采取務(wù)實(shí)的方法和預(yù)算。

網(wǎng)絡(luò)攻擊越普遍，公司企業(yè)最終淪為受害者的可能性越高。

建立恢復(fù)預(yù)算以應(yīng)對(duì)數(shù)據(jù)泄露或網(wǎng)絡(luò)攻擊事件是必要的，這為遭到攻擊的情況預(yù)留資源可以減小公司所受的沖擊。

建立明智的預(yù)算可以令公司企業(yè)制定出健壯的網(wǎng)絡(luò)安全策略。

而強(qiáng)大的策略來自明智的安全投資控制和訓(xùn)練有素的員工基礎(chǔ)。

安全預(yù)算設(shè)計(jì)得越好，公司就越安全，越能應(yīng)對(duì)面臨的網(wǎng)絡(luò)安全威脅。