安全團隊正面臨著越來越高的要求,與以往相比,現如今工具更多、數據更多,期望也更高。董事會批準了龐大的安全預算,但仍會提出同樣的問題:企業能得到什么回報?CISO們以有關控制措施和漏洞數量的報告作為回應,但高管們希望從財務風險敞口、運營影響和避免損失等方面來理解風險。
這種脫節已經難以忽視。根據IBM最近的數據,一次數據泄露的平均成本已達到488萬美元。這一數字不僅反映了事件響應的成本,還包括系統停機時間、生產力損失、客戶流失,以及恢復運營和信任所需的額外努力,換言之,其影響很少局限于安全領域。
因此,安全領域的領導者需要一種模型,能在這些后果出現之前就將其展現出來。業務價值評估(BVA)就提供了這樣一種模型。它將風險暴露與成本聯系起來,將優先級設定與回報聯系起來,將預防措施與實際價值聯系起來。
本文將解釋業務價值評估(BVA)的工作原理、測量內容,以及為何對于那些明白網絡安全不僅是一個信息技術問題,更是一項關鍵業務功能的組織而言,BVA正變得至關重要。
大多數安全指標是為運營團隊制定的,而非企業領導者。通用漏洞披露(CVE)數量、補丁率和工具覆蓋率有助于追蹤進展,但它們無法回答對董事會來說至關重要的問題:一次數據泄露實際會讓我們付出多少代價?我們已經排除了多少風險?這項投資在哪些方面能產生影響?
傳統指標存在不足主要有以下幾個關鍵原因:
它們展示的是活動,而非影響。說上季度修復了3000個漏洞,并不能說明其中是否有與關鍵系統相關的漏洞。它告訴你做了什么,而不是什么變得更安全了。
它們忽略了風險暴露之間的關聯方式。單個配置錯誤可能看起來微不足道,直到它與身份問題或平面網絡段相結合。大多數指標并不能反映攻擊者是如何將弱點串聯起來以獲取關鍵資產的。
它們忽略了財務影響。違規成本并非一刀切。這取決于從檢測時間、數據類型到云復雜性和人員配置差距等各種因素,而大多數儀表盤從未涉及這些因素。
業務價值評估(BVA)有助于彌合技術發現與企業實際需要了解的內容之間的差距。它通過基于實際研究的違規成本建模,將暴露數據與財務影響聯系起來。評估應基于諸如IBM數據泄露成本報告等來源的信息輸入,該報告概述了影響事件成本的因素——從檢測到數據泄露的速度,到IT環境的復雜程度。IBM利用這些因素對數據泄露發生后的成本進行事后分析,但也可以根據組織的實際情況,利用這些因素對數據泄露可能產生的成本進行“預先”估算。
這就是業務價值評估(BVA)的用武之地。它并非追蹤表面指標,而是從結果的角度重新定義網絡安全。它改變了討論的方向。它從單純計算整改措施,轉變為展示成果。它清晰呈現了風險暴露如何造成影響、什么至關重要,以及安全投資在哪些方面能夠帶來可衡量的價值。這為安全負責人提供了所需的背景信息,讓他們能夠充滿信心地支持決策。
說風險已經降低是一回事。而用金錢、時間或業務影響來表明這意味著什么則是另一回事。這正是業務價值評估(BVA)的設計目的所在。它將安全工作與業務其他部門真正關心的成果聯系起來。一項業務價值評估應關注三件事:
成本規避——根據您所處環境中的風險,一次違規可能會造成多少成本,通過解決正確的風險暴露能預防其中多少成本?
成本削減——安全工作在哪些方面有助于削減開支?這可能包括縮小手動測試范圍、降低補丁管理成本,或者通過展示更優的風險狀況來改善保險狀況。
效率提升——通過為團隊設定更合理的優先級,并將無需人工干預的工作自動化,你能節省多少時間和精力?
這些實際數據有助于安全領域的領導者們做出更完善的規劃、更明智地投入資金,并在決策或預算面臨風險時提供有力依據。
數據泄露造成的財務影響會隨著延遲的每一天而增加。涉及身份信息泄露或影子數據的事件如今需要290多天才能得到控制。在此期間,企業會遭遇收入損失、運營停滯以及長期的聲譽損害。此外,IBM的報告顯示,70%的數據泄露會導致重大運營中斷,其中許多企業永遠無法完全恢復。
業務價值評估(BVA)使該時間線更加清晰。它能確定最有可能延長事件的風險因素,并根據您所在的行業和組織情況估算延遲造成的成本。它還有助于評估預防性控制措施的回報。例如,IBM發現,部署了有效的自動化和基于人工智能的補救措施的公司,其違規成本最多可降低220萬美元。
一些組織在價值未明確定義時會猶豫是否采取行動。這種拖延是有代價的。業務價值評估(BVA)應包含一個 “不作為成本” 模型,用于估算公司因未處理風險敞口而每月遭受的損失。我們發現,對于大型企業而言,這一代價可能超過50萬美元。
但認識到不作為的代價只是成功的一半。要真正改變結果,安全負責人需要利用這種認識來指導戰略并爭取跨部門支持。
安全團隊的工作做得有多好,這毫無疑問。問題在于,傳統指標并不總能體現他們工作的“意義”。補丁數量和工具覆蓋范圍并非董事會關心的內容。他們想知道實際受到保護的是什么。業務價值評估(BVA)有助于理清頭緒,展示日常安全工作如何幫助企業避免損失、節省時間并增強韌性。
它還能讓艱難的對話變得更容易。無論是證明預算合理、向董事會詳細說明風險,還是回答保險公司的問題,業務價值評估(BVA)都能為安全負責人提供可靠的依據。它展示了團隊在哪些方面發揮了作用——減少繁瑣工作、減少第三方測試,以及改進組織處理風險的方式。
最重要的是,它讓所有人達成共識。安全、IT和財務部門無需再猜測彼此的優先級。他們可以基于相同的數據開展工作,聚焦真正重要的事項,并在關鍵時刻更快地行動。
這種轉變帶來了實質性的差異。安全團隊不再是只會說“不”的部門,而是開始成為幫助企業向前發展的團隊。借助BVA,領導層終于有了一種清晰的方式來審視進展、做出更明智的決策,并在風險演變為更大問題之前加以應對。
浙公網安備 33010502006954號 
