毕马威(KPMG)：首席信息安全官网络成本优化的五大策略

　　毕马威(KPMG)发布了《网络成本优化的五大策略报告》。

　　经济的不确定性促使许多组织重新审视其整体成本效率，疫情导致的低迷收入促使人们寻求降低运营成本和保留营运资本。任何组织职能部门都无法免受成本压力的影响，包括网络安全。首席信息安全官(CISO)应预测其项目预算的压力，并主动确定控制其成本的措施，同时微妙地平衡“防未来”不断演变的威胁格局。报告探讨了首席信息安全官们应该考虑的五个关键问题和相应的成本优化策略。

　　网络成本优化的五大策略

　　1. 暂停“低风险”活动

　　对于那些处于“现金保全”模式的组织来说，更具策略性的成本提取措施是识别和暂停与“低风险”、“非关键”活动相关的可自由支配支出和成本。

　　一些组织已经仔细检查了它们的测试和控制活动，并暂时停止了那些处理“低风险”或“非关键”资产的活动，例如，使用正式的保证证据执行供应商风险评估，对低风险事件进行安全调查，对面向内部的应用程序进行安全代码审查，并对非关键主机或资产执行漏洞扫描。实现成本节约几乎是立竿见影的，但鉴于不断演变的威胁形势和不断变化的安全风险状况，这应被视为一种临时解决办法。

　　2. 在重新谈判合同时寻求价值和公开对话，而不仅仅是降低费用

　　安全组织通常从外部寻找独立见解、网络经验或对其网络能力的客观看法。这可能包括聘请技术提供商、可信赖的顾问或承包商。然而，外部资源的价格通常比内部人员高出很多，因此应该谨慎使用。

　　3. 合理化您的安全技术和项目

　　随着市场上安全工具的丰富，许多组织在新技术上投入了大量资金，以便在不断变化的世界保持最新安全解决方案的领先地位。然而，没有成功调整网络安全战略和技术战略的组织可能会发现自己不得不管理一个庞大的投资组合，部署和操作未充分利用或重复的网络安全工具，从而浪费宝贵的安全资源。

　　网络技术的总体拥有成本(例如，与工具部署、更新、许可、维护和持续测试、培训等相关的成本)即使不是网络项目中成本最高的项目，也是其中之一，合理化工具集可以带来重大的影响。

　　4. 统一控制集和法规遵从性管理活动

　　许多行业和政府监管机构已将网络安全纳入其职权范围。他们共同承认网络安全风险的重要性;然而，他们管理监管的方法因监管机构而异。可以理解，不同的监管机构对网络安全的不同方面感兴趣。这导致了一系列的义务，从整齐重叠到完全独特。仅在隐私领域，就有许多不同的州法规和各种非美国立法(最显著的是GDPR)影响着美国的组织。在不协调的监管机构(如金融服务业网络安全状况)之间调整义务的努力仍处于起步阶段，在不久的将来这种情况不太可能改变。

　　5.简化、聚合和自动化

　　高度手动、孤立和完全不同的安全过程是优化的一个明显的重点，无法访问或不准确的数据往往会加剧效率低下。以管理漏洞扫描、修补和修复关键和高度暴露的应用程序为例。经常听到这样的消息：扫描的范围和可视性有限，因此漏洞暴露的可视性有限，无法确定正确的应用程序所有者进行补救，从而导致修补中缺少SLA，或者缺乏风险和影响分析，导致更多时间管理不当，例如，花费大量时间修复实际的低风险资产。此外，该流程与事件响应流程之间的集成有限，无法对事件响应进行有效、快速的分析。通过数据清理和流程简化，可以节省大量的时间和精力以及相关的成本。

　　文本由@云闲 原创发布于三个皮匠报告网站，未经授权禁止转载。

　　数据来源：《毕马威(KPMG)：网络成本优化的五大策略报告》。点击下载PDF报告