存储域
数据库加密 诺亚防勒索访问域
数据库防水坝 数据库防火墙 数据库安全审计 动态脱敏流动域
静态脱敏 数据水印 API审计 API防控 医疗防统方运维服务
数据库运维服务 中间件运维服务 国产信创改造服务 驻场运维服务 供数服务安全咨询服务
数据出境安全治理服务 数据安全能力评估认证服务 数据安全风险评估服务 数据安全治理咨询服务 数据分类分级咨询服务 个人信息风险评估服务 数据安全检查服务安全团队正面临着越来越高的要求,与以往相比,现如今工具更多、数据更多,期望也更高。董事会批准了庞大的安全预算,但仍会提出同样的问题:企业能得到什么回报?CISO们以有关控制措施和漏洞数量的报告作为回应,但高管们希望从财务风险敞口、运营影响和避免损失等方面来理解风险。
这种脱节已经难以忽视。根据IBM最近的数据,一次数据泄露的平均成本已达到488万美元。这一数字不仅反映了事件响应的成本,还包括系统停机时间、生产力损失、客户流失,以及恢复运营和信任所需的额外努力,换言之,其影响很少局限于安全领域。
因此,安全领域的领导者需要一种模型,能在这些后果出现之前就将其展现出来。业务价值评估(BVA)就提供了这样一种模型。它将风险暴露与成本联系起来,将优先级设定与回报联系起来,将预防措施与实际价值联系起来。
本文将解释业务价值评估(BVA)的工作原理、测量内容,以及为何对于那些明白网络安全不仅是一个信息技术问题,更是一项关键业务功能的组织而言,BVA正变得至关重要。
大多数安全指标是为运营团队制定的,而非企业领导者。通用漏洞披露(CVE)数量、补丁率和工具覆盖率有助于追踪进展,但它们无法回答对董事会来说至关重要的问题:一次数据泄露实际会让我们付出多少代价?我们已经排除了多少风险?这项投资在哪些方面能产生影响?
传统指标存在不足主要有以下几个关键原因:
它们展示的是活动,而非影响。说上季度修复了3000个漏洞,并不能说明其中是否有与关键系统相关的漏洞。它告诉你做了什么,而不是什么变得更安全了。
它们忽略了风险暴露之间的关联方式。单个配置错误可能看起来微不足道,直到它与身份问题或平面网络段相结合。大多数指标并不能反映攻击者是如何将弱点串联起来以获取关键资产的。
它们忽略了财务影响。违规成本并非一刀切。这取决于从检测时间、数据类型到云复杂性和人员配置差距等各种因素,而大多数仪表盘从未涉及这些因素。
业务价值评估(BVA)有助于弥合技术发现与企业实际需要了解的内容之间的差距。它通过基于实际研究的违规成本建模,将暴露数据与财务影响联系起来。评估应基于诸如IBM数据泄露成本报告等来源的信息输入,该报告概述了影响事件成本的因素——从检测到数据泄露的速度,到IT环境的复杂程度。IBM利用这些因素对数据泄露发生后的成本进行事后分析,但也可以根据组织的实际情况,利用这些因素对数据泄露可能产生的成本进行“预先”估算。
这就是业务价值评估(BVA)的用武之地。它并非追踪表面指标,而是从结果的角度重新定义网络安全。它改变了讨论的方向。它从单纯计算整改措施,转变为展示成果。它清晰呈现了风险暴露如何造成影响、什么至关重要,以及安全投资在哪些方面能够带来可衡量的价值。这为安全负责人提供了所需的背景信息,让他们能够充满信心地支持决策。
说风险已经降低是一回事。而用金钱、时间或业务影响来表明这意味着什么则是另一回事。这正是业务价值评估(BVA)的设计目的所在。它将安全工作与业务其他部门真正关心的成果联系起来。一项业务价值评估应关注三件事:
成本规避——根据您所处环境中的风险,一次违规可能会造成多少成本,通过解决正确的风险暴露能预防其中多少成本?
成本削减——安全工作在哪些方面有助于削减开支?这可能包括缩小手动测试范围、降低补丁管理成本,或者通过展示更优的风险状况来改善保险状况。
效率提升——通过为团队设定更合理的优先级,并将无需人工干预的工作自动化,你能节省多少时间和精力?
这些实际数据有助于安全领域的领导者们做出更完善的规划、更明智地投入资金,并在决策或预算面临风险时提供有力依据。
数据泄露造成的财务影响会随着延迟的每一天而增加。涉及身份信息泄露或影子数据的事件如今需要290多天才能得到控制。在此期间,企业会遭遇收入损失、运营停滞以及长期的声誉损害。此外,IBM的报告显示,70%的数据泄露会导致重大运营中断,其中许多企业永远无法完全恢复。
业务价值评估(BVA)使该时间线更加清晰。它能确定最有可能延长事件的风险因素,并根据您所在的行业和组织情况估算延迟造成的成本。它还有助于评估预防性控制措施的回报。例如,IBM发现,部署了有效的自动化和基于人工智能的补救措施的公司,其违规成本最多可降低220万美元。
一些组织在价值未明确定义时会犹豫是否采取行动。这种拖延是有代价的。业务价值评估(BVA)应包含一个 “不作为成本” 模型,用于估算公司因未处理风险敞口而每月遭受的损失。我们发现,对于大型企业而言,这一代价可能超过50万美元。
但认识到不作为的代价只是成功的一半。要真正改变结果,安全负责人需要利用这种认识来指导战略并争取跨部门支持。
安全团队的工作做得有多好,这毫无疑问。问题在于,传统指标并不总能体现他们工作的“意义”。补丁数量和工具覆盖范围并非董事会关心的内容。他们想知道实际受到保护的是什么。业务价值评估(BVA)有助于理清头绪,展示日常安全工作如何帮助企业避免损失、节省时间并增强韧性。
它还能让艰难的对话变得更容易。无论是证明预算合理、向董事会详细说明风险,还是回答保险公司的问题,业务价值评估(BVA)都能为安全负责人提供可靠的依据。它展示了团队在哪些方面发挥了作用——减少繁琐工作、减少第三方测试,以及改进组织处理风险的方式。
最重要的是,它让所有人达成共识。安全、IT和财务部门无需再猜测彼此的优先级。他们可以基于相同的数据开展工作,聚焦真正重要的事项,并在关键时刻更快地行动。
这种转变带来了实质性的差异。安全团队不再是只会说“不”的部门,而是开始成为帮助企业向前发展的团队。借助BVA,领导层终于有了一种清晰的方式来审视进展、做出更明智的决策,并在风险演变为更大问题之前加以应对。
官方订阅号
官方服务号
第59号
浙公网安备 33010502006954号 
