数据驱动型CISO现在需要采取四项战略来捍卫其预算

在过去十年中 ，数据算IT安全预算一直被认为是驱动取项其预预算中不可或缺的，由于重大数据泄露所带来的型CO现需采生存威胁 ，IT安全预算在很大程度上没有受到其他部门削减的战略影响。

然而，捍卫对即将到来的数据算全球经济衰退的恐惧和不确定性 ，正迫使商界领袖认真审查其运营预算中的驱动取项其预每一个条目 ，企业的型CO现需采CISO不能再假定他们的预算将不受成本削减措施的高防服务器影响，相反
，战略他们必须准备回答有关其安全计划的捍卫总体成本效益的尖锐问题。

换句话说，数据算虽然企业明白需要投资于强大的驱动取项其预安全工具和专业从业者，但现在的型CO现需采问题是，多少资金才够?战略如何调整他们的安全支出，以保持可接受的捍卫风险暴露水平?

如果安全领导者想要在未来几年有机会捍卫或增加他们的预算，云计算他们将需要用经验数据武装自己，并能够向那些掌握企业资金的人清楚地传达他们安全投资的商业价值 。

量化安全演算

二十多年前，著名的科技专家Bruce Schneier创造了“安全剧场”这个词，用来描述这样一种做法，即实施安全措施，让人感觉安全程度提高了
，但实际上却没有做什么。

如今 ，许多执行董事会开始怀疑，所有这些安全工具和系统的积累是否正在带来与他们的源码库投资相称的经济效益——或者这仅仅是一种歌舞伎剧场，旨在让他们感觉到他们宝贵的企业资产得到了充分的保护 。

CISO同样面临这样一个挑战，即没有衡量信息安全有效性的标准化办法，安全领导人到底应该衡量什么?你如何根据业务实际理解的指标来量化风险?拥有更多的工具真的会让我们受到更好的保护吗?还是只会造成更多的管理和复杂性问题?

这些只是免费模板CISO在提出业务预算并使其合理化时必须能够回答的几个问题。

调整你的安全预算的关键策略

通过利用对过去安全事件、威胁情报和安全漏洞潜在影响的数据的访问，企业的CISO可以就有效防御潜在攻击所需的资源做出更明智的决策。

将这四种数据驱动的战略作为定义网络安全价值并向企业领导人进行沟通的起点 ：

1.定义有意义的指标

众所周知，亿华云安全指标很难捕获并以与其他公认的业务指标和KPI一致的方式进行通信。虽然计算直接产生收入的产品或服务的ROI相当简单，但在试图量化安全工具的ROI时就变得更加模糊了 ，因为安全工具主要专注于防止财务损失。

虽然ROI是一个很容易被业务其余部分理解的指标，但传达IT安全的价值可能并不是最有意义的 ，服务器租用同样，报告与检测到并阻止的攻击数量相关的指标听起来可能令人印象深刻——然而，它与企业领导人实际关心的事情脱节。

最终有意义的是能够使指标与关键业务功能和优先级保持一致，例如 ，如果企业的主要目标是减少可能的中断对其运营的影响
，则可以随着时间的推移跟踪和监控这一点 。

2.量化风险

要显示安全团队为企业提供的价值 ，你需要首先量化风险 ，然后演示如何通过有效的安全控制来降低风险。通过为可接受的风险水平定义明确的阈值来确定企业对风险的容忍度 ，有助于确保任何已识别的风险在变得太大或无法管理之前得到及时解决。衡量和量化风险的其他一些实际方法可能包括：

概率：发生特定安全风险的可能性，可以使用历史数据以及专家意见和第三方研究来衡量 。

影响  ：安全漏洞的潜在后果，包括财务损失、声誉损害和法律/合规责任。

控制：确定采取了哪些措施来预防 、检测或将风险降至最低，这可以包括技术控制(如防火墙或防病毒软件)以及组织控制(如政策和程序) 。

3.整合工具和供应商

在过去的十年里 ，企业安全团队掀起了一场安全工具的采购狂潮 。Ponemon的一项研究发现，典型的企业平均部署了45个网络安全工具来保护他们的网络并确保弹性。

采用新工具的主要驱动力之一是不断演变的威胁格局本身 ，这反过来又催生了针对特定攻击媒介的初创企业的家庭手工业 ，这导致企业获得了各种各样的利基点式解决方案 ，以弥补和缩小差距
。在许可这几十个相互关联和重叠的工具时 ，不仅需要考虑成本，而且管理这些工具还需要额外的成本 。

通过采用具有共享数据和控制平面的平台方法 ，CISO可以整合安全工具、简化操作并减少旧式竖井之间的差距和漏洞 。

4.确定可见性的优先顺序

你不能有效地管理那些你看不见的东西 ，这就是为什么必须优先投资于提供广泛网络可见性的工具和流程
，以了解环境中的内容以及最大的风险所在。改善安全状况的其他方法 ：

实现无代理：这可以更轻松地覆盖云工作负载，不需要确保正确的权限 ，只需输入AWS凭据，配置API，就可以在不到一小时的时间内扫描环境。

终端可见性：由于大多数攻击都是从单个终端设备开始的 ，并为攻击者提供了提升权限的简单途径，因此可见性至关重要 ，尤其是在员工不断从远程位置登录的情况下。

在过去的十年里 ，安全领导人一直在努力争取在董事会中获得一席之地，如果他们要保住这个席位，他们将需要建立一种基于经验数据的问责文化，以便他们能够沟通并使网络安全的全部价值合理化。