如今,企业面临着严峻的网络安全挑战。在这一点上,普通企业运营的几乎每个方面都部分或完全数字化,一个失误就有灾难的风险。
为了保持安全,企业必须采取措施保护其数据并防止多种威胁。
失败的代价是惊人的。在美国,2022 年的平均数据泄露给受影响的企业造成了 944 万美元的直接和间接成本。
对于 60% 的小型企业来说,一次网络安全事件造成的损失导致破产和关闭。
然而,与其他所有事情一样,即使是网络安全支出也仍然需要进行风险/收益分析。
考虑到这一点,以下是企业网络安全的主要利弊。
网络安全的主要优点
在为网络安全支出制定商业案例时,阐明此类支出创造的直接好处通常很有用。以下是为企业提供强大的网络安全计划的所有主要优点。
1) 防止数据丢失和被盗
强大的网络安全计划最直接的好处是消除或最大限度地减少数据丢失和盗窃的威胁。
对于拥有商业秘密和其他关键知识产权 (IP) 的企业来说,这是一项关键任务。但是,对于拥有各种其他数据的企业来说,这也很重要。
例如,收集和存储任何类型的客户数据的企业必须仔细保护该数据。客户个人身份信息 (PII) 的暴露可能导致身份盗用,这在美国和全球范围内处于流行水平。
在这些情况下,目标企业面临着双重打击,既要承担财务责任,又要损害其客户关系的声誉损害。
2) 遵守各种法规/指令/标准
强大的网络安全计划的另一个主要好处是,它使企业站在适用法律的正确一边。
目前,企业必须遵守多个司法管辖区的各种数据隐私法律和法规。这些限制详细说明了企业如何收集和使用数据,以及他们对保护数据的具体责任。
例如,在美国任何地方处理医疗信息的企业必须符合 1996 年《健康保险流通与责任法案》(HIPAA) 中概述的标准。
它们阐明了加密、存储和缓解合理威胁等方面的最低标准。
在加州或欧洲经营的企业也是如此,分别适用《加州消费者隐私法》(CCPA)和《通用数据保护条例》(GDPR)。
在几乎所有情况下,未能履行监管义务的企业都将面临从小额罚款到吊销营业执照的处罚。
无论哪种情况,为保持相关监管合规性的强大网络安全计划提供资金都是必要和可取的。
3) 提高客户对您业务的信心
随着时间的流逝,越来越多的消费者陷入数据泄露。正如我们之前所指出的,其中许多事件都以身份盗窃告终。
问题是,消费者很精明,了解威胁形势的复杂性。对于企业来说,成为值得信赖的消费者数据管理者提供了另一个机会——吹嘘其网络安全诚信的机会。
多项调查表明,消费者会根据企业处理数据的负责任程度来奖励和惩罚企业。
这意味着选择为强大的网络安全计划提供资金的企业也可以将其投资用作营销工具。企业可以通过详细说明他们为保护和尊重客户数据所经历的时间来做到这一点,这有助于建立消费者的长期信任和忠诚度。
4) 确保业务连续性
强大的网络安全有助于保护数据,但这还不是全部。它还有助于确保业务连续性。当面临勒索软件攻击等威胁时,普通企业现在会经历 20 天的停机时间。
这意味着所有创收业务将完全停止。这种停机时间可能会威胁到许多公司的生存,或者至少使它们陷入财务困境。
由于全面的网络安全计划包括完整的备份和灾难恢复功能,因此它不仅降低了网络安全事件的几率,而且还大大缩短了发生网络安全事件时所涉及的停机时间。
在许多情况下,仅避免的停机时间就足以证明该计划的网络安全支出成本是合理的。
5) 防止经济损失
停机时间并不是勒索软件攻击等威胁带来的唯一问题。大多数情况下,此类攻击会要求赎金,以换取重新获得对攻击中锁定的业务数据的访问权限。
大多数攻击者将他们的要求与发布企业数据或将其出售给出价最高的人的威胁相结合,如果他们不付款。这种威胁足以迫使许多企业支付攻击者要求的任何赎金。
然而,这有一个问题。首先,大约 80% 支付赎金以重新获得文件访问权限的企业最终会再次成为受害者。此外,令人震惊的是,92%的目标组织即使支付了费用,也无法重新获得对其所有数据的访问权限。
结果是永无止境的财务损失螺旋式上升。一个强大且执行良好的网络安全计划是消除这种情况发生可能性的最佳方法,也是唯一的方法。
6) 知识产权保护
对于现代企业来说,创新是底线成功的命脉。这意味着成功开发竞争对手无法模仿的新产品、服务或工作流程。
然而,所有这些创新都会产生商业秘密——关键知识产权——企业必须不惜一切代价保护这些秘密。然而,企业,尤其是美国的企业,正在努力做到这一点。
其中一个关键原因是,如今大多数知识产权都是数字化的。单个工程师可能将工业机器或过程的秘密保留在脑海中的日子已经一去不复返了。
相反,这些数据以数字形式存储,很容易被盗和无意泄露。
这使得全面持续的网络安全工作成为各类企业的绝对必要条件,以免他们失去对其关键知识产权或其他无形业务资产的控制。
网络安全的主要缺点
当然,如果维护网络安全简单或便宜,每个企业都会这样做。以下是劝阻企业进行关键网络安全工作的一些主要缺点。
1) 实施和维护成本
商业网络安全计划的主要缺点是成本。购买、集成和维护保护数据和基础设施资产所需的所有硬件和软件系统并不便宜。
为防御装备精良的威胁行为者所需的专业知识付费也不便宜。
当然,当与成功攻击的成本相权衡时,成本是微不足道的。
然而,这并不能使企业免于预先进行重大资本支出。当网络安全投资成功实现其目标时,它们所防止的损失仍然是理论上的,这使得这些投资的合理性变得困难,充其量。
2)很难找到网络安全专家
由于网络安全是全球每个企业都关注的关键问题,因此劳动力市场对网络安全专家的竞争非常激烈。
此外,可供雇用的合格网络安全专家持续短缺。更糟糕的是,短缺还在继续增长。
2022 年,所谓的网络安全技能差距急剧扩大,据报道,可用的网络安全职位与全球合格申请人数量之间存在 26.2% 的差距。
这种情况经常导致企业为顶尖人才进行代价高昂的竞标战。当他们获胜时,他们的奖励高于预期的开销。
当他们失败时,他们最终将失去保护其数据和数字系统所需的关键技能。
3)使业务运营更加复杂和困难
与实施强大的网络安全措施相关的另一个缺点是,它使业务运营更加复杂和困难。
需要控制哪些员工可以访问哪些数据以及哪些系统可以连接到公共互联网的哪些部分,这使得使用障碍几乎是不可避免的。
此外,维护网络安全意味着对员工进行常见威胁和最佳实践的教育。
这是尝试确保他们最终不会绕过企业精心构建的数字防御的唯一方法。这些工作虽然至关重要,但往往耗时,并且可能在短期和长期内损害生产力。
4)需要持续监控
与企业在网络安全措施方面的投资相关的最后一个主要缺点是,没有可用的一劳永逸的解决方案。
网络安全软件和硬件需要持续的关注和监控,而不是企业可以购买一次并永久使用的东西。
随着不断变化的威胁形势需要应对,网络安全专家必须始终保持警惕。
这包括在必要时调整企业的网络安全态势和防御措施。
尽管有相当多的自动化技术正在进入当前一代的网络安全解决方案,但短期内不太可能有任何高性能的免提网络安全解决方案可用。
总结
归根结底,企业没有忽视网络安全的选择,除非他们不打算长期经营。
但是,他们仍然需要平衡他们所采取的网络安全措施的成本与他们面临的特定风险以及法律赋予他们的任何安全义务。
通过了解此处详述的相对利弊,就该主题进行富有成效的讨论应该容易得多。
它还应该帮助决策者提出合理的调整,将网络安全方程式的两边都考虑在内。
暂无评论内容