对于网络攻击，防患于未然总比攻击发生后修复损失的成本低得多。尽管如此，很多企业在编制网络安全预算时仍存在重大遗漏，会使企业很容易遭受重大财务损失。

　　每一家企业，无论规模多大，关注的重点是什么，都应制定合理、准确的网络安全预算。佐治亚州肯尼索州立大学信息安全与保障学教授Humayun Zafar评论说：“只有做好预算，我们所有的一切才具有现实和实际意义。”

　　Zafar指出，尽管企业尽最大努力去保护系统和资源，但网络安全事件仍在快速增长。他警告说：“预算的增长远远赶不上这些威胁发生的速度，更别说发展了。”因此，企业在投资网络安全时必须要明智。Zafar说：“不可能一切都得到保障，所以优先次序是关键。”

　　本文介绍了规划人员经常忽视或者未能切实解决的7个关键网络安全预算项目。

　　员工招聘和留任

　　很多企业无视长期趋势，一直低估招聘和保留熟练的网络安全专业人员的成本。商业咨询公司EY Consulting的网络安全负责人Carolyn Schreiber指出：“在过去几年里，合格的专业人士与成倍增长的工作岗位之间的差距一直在稳步扩大。简单地说，竞争依然激烈，人才争夺战仍在继续。”结果，很多企业发现，在招聘和留住合格的网络安全专业人员时，他们的招聘预算严重超支了。

　　商业咨询公司德勤风险与金融咨询公司的美国网络和战略风险负责人Deborah Golden指出，早在疫情之前，网络安全人才就一直短缺。她敦促说：“如果你的企业能够招聘到有技能的网络人才——即便打算让这些人一直保持远程工作状态，也要把他们招进来。”

　　云开支

　　SAP国家安全服务公司首席信息安全官Ted Wagner表示，与网络安全相关的云支出往往被低估或者管理不善。他认为：“通常情况下，云支出并不是集中的，一家企业中的很多部门在没有适当控制的情况下就开始在云环境中进行测试或者开发。”在云服务上的过度花费可能会使原本被认为是成本低廉、甚至可能节省预算的项目演变成严重拖累财务资源的项目。

　　云预算应反映实际的定价，同时预测出各个业务部门试用和测试基于云安全工具的额外成本。Wagner警告说：“在一家大型企业中，这些逐渐增加的成本会很快累积起来。”

　　第三方建议和分析

　　企业往往忽视了第三方漏洞测试的预算，以及聘请顾问就潜在网络威胁向管理者和员工提供建议的预算。国际律师事务所Reed Smith的网络安全合伙人Sarah Bruno律师建议：“在这方面有较大的预算是件好事，这样就可以从多家公司那里获得非常全面的建议。”

　　一家企业可能会拒绝为多项外部深度分析支付额外费用，因为它对其当前的网络安全环境完全有信心，或者因为它每年以固定的预算与同一位安全顾问合作。然而，这种想法通常是短视的。Bruno说：“最好是从不同的安全公司获得信息，特别是对于更敏感的数据，这有助于发现新的威胁，并确保企业有适当的技术、管理和物理保护措施到位。”

　　事件响应

　　网络安全审计和测试公司Kirkpatrick Price的Joseph Kirkpatrick说，事件响应（IR，Incident Response）通常是被忽视的网络安全需求，在预算方面尤其如此。他指出，当一家企业因数据泄露而受害时，精心策划的IR策略可以使企业免于可能出现的灾难性财务损失。Kirkpatrick建议说：“花时间招聘并培训一个负责IR的团队是会有回报的。”

　　管理公司博思艾伦汉密尔顿（Booz Allen Hamilton）负责网络安全战略的副总裁Rudy Bakalov认为，尽管存在固有的风险，但企业仍然无法对IR费用进行比较实际的预算。他指出：“尽管媒体上有大量企业（大都有成熟的安全程序）被攻破的例子，仍然很难想象为什么企业没有为间接成本制订更好的计划，比如保持/加强IR能力。也许他们认为自己的企业太大或者太小，不可能成为攻击目标，或者他们在赌这种事不会发生在自己身上。”

　　博思艾伦汉密尔顿公司商业网络业务的负责人Christopher Smith补充说，未能解决IR等间接网络安全成本的后果，并不亚于没有充分考虑直接成本，尤其是在IR领域。没有IR服务预算，可能导致勒索软件等事件被不必要的拖延，从而造成更大的业务中断、客户流失和声誉受损。”

　　替换成本

　　在判断潜在易受攻击资产的替换成本时，对于哪些系统可能会受到泄露事件或者恶意软件的影响，很多企业的观点是非常短视的，他们仅仅是替换最易受攻击的系统。Zafar说：“从成本的角度来看，这导致的损失远远超过了一家企业的任何预期。严重程度将取决于网络安全泄露事件涉及的范围。”

　　最近转向在家工作增加了替换成本负担，使得疫情前的估计付诸东流。忽视对脆弱的家庭系统的替换或者升级会招致灾难。Zafar警告说：“如果家庭系统受到影响，这些系统可能会无意中在企业网络中重新造成漏洞——即使企业最终已经解决了这些问题。”

　　网络安全培训

　　很多最严重的网络安全风险源自内部。Miller Canfield律师事务所网络安全和数据隐私业务的律师Jacob Koering说：“很多公司都承认员工的行为是风险的主要来源。”他补充道：“然而，这些公司严重缺乏资金，甚至忽视了员工培训和内部威胁需求。”

　　Koering说，一项运行良好的网络安全计划可以确保员工意识到他们的网络安全义务，并通过内部监控加强这种意识，以确保恶意行为人能被迅速发现并抓获。

　　网络保险

　　很多企业还没有意识到网络保险的必要性——这方面的疏忽可能带来可怕的财务后果。北卡罗来纳大学格林斯博罗分校管理系教授Nir Kshetri经常就安全和加密货币问题撰写文章，发表评论，他说：“具有讽刺意味的是，尽管网络威胁在不断增加，很多公司却没有为网络保险做预算。”他指出：“截至2020年，美国只有不到20%的小企业购买了网络保险。”

　　Kshetri警告说，没有网络保险，企业可能无法保护自己免受与网络攻击相关的重大损失。除了保护企业免受潜在的毁灭性财务打击外，简单地申请网络保险就能带来更强大的网络安全基础设施。他说：“网络保险以美元价值表示网络风险。因此，网络保险承保流程可以帮助企业发现网络安全漏洞，有机会进行改进。”
 

作者：本文作者John Edwards是一位资深的商业技术记者。他的文章发表在《纽约时报》、《华盛顿邮报》以及很多商业和技术出版物上，包括CIO、ComputerWorld、《网络世界》、CFO杂志、IBM数据管理杂志、RFID杂志和《电子设计》等。

编译：Charles

原文网址：https://www.csoonline.com/article/3583604/7-overlooked-cybersecurity-costs-that-could-bust-your-budget.html

责任编辑：牛可歆