计算安全投资的 ROI
将安全职能从成本中心转变为战略价值
尽管近期发展势头强劲,但网络安全远未成为第一大企业优先事项。
诚然,许多 CISO 直接向 CEO 汇报,并按照要求与公司董事会讨论风险和合规问题。然而,超过一半的安全团队表示他们资金不足,导致其无法在降低风险方面进行重要投资。无论是否公正,归根结底,许多企业将内部安全团队视为成本中心。当预算紧缩或财务�预测变得不稳时,这种看法可能会导致安全投资被削减。
要转变这种看法,安全领导者需要花费大量时间与同事建立关系,并调整安全战略使,其与更广泛的公司优先事项保持一致。在此过程中,探讨之前的安全投资产生的投资回报率 (ROI) 可能会有所帮助。此类衡量指标有助于其他领导者了解安全团队已创造的价值,并且有可能说服他们支持未来的类似投资。
协调对齐 ROI 衡量指标与业务优先事项
在决定衡量哪些类型 ROI 并深入研究数据之前,安全领导者应该首先确定他们想要讲述什么样的故事。任何数字或指标,无论多么令人印象深刻,如果它与更广泛的业务优先事项不协调,都会显得随意。
以下是三个常见的数字化优先事项,以及有助于支持这些优先事项的各种投资回报率 (ROI) 衡量指标:
继续阅读,了解运用每种类型衡量指标的具体方法。
ROI 衡量指标 1:减少 Web 应用服务中断,以节省收入
有许多指标和评分可以量化和降低风险。这些评分无疑对安全团队有帮助,但对于企业中的其他人�员来说,它们可能过于抽象,难以理解。
反而是在谈论安全功能增强的影响时,应尝试将其与整个企业关心的数字联系起来。在 Web 应用安全语境中,这样一个数字就是该 Web 应用产生的收入。衡量安全改进措施如何保障收入,远比单独的风险评分更加具体。
为了进行此类衡量,需要以下数据:
在相关投资前与投资后,与遭受攻击相关的网站宕机时长。理想情况下,以一年中的小时数来衡量,因为缩短时间窗口可能会忽略销售旺季。获取不同版本的关于不同类型攻击(例如 DDoS 攻击、恶意机器人攻击)数据可能是有意义的。
因网站宕机而造成的每小时/每日成本。对于 B2C 公司,电子商务团队应该了解网站每小时能产生多少收入。营销团队可能会了解网站每小时/每天产生了多少潜在客户或表单填写量,以及潜在客户的客单价。无论哪种方式,大致的月度/年度平均值是不错的切入点,然而,如果攻击常常发生在特定时间段(例如,节假日购物),或许您希望计算该时间段的收入平均值。
借助这些数字,便可以得到一个可靠的估算衡量指标,即:通过阻止更多特定类型的攻击,保护了多少收入。您可以使用这个衡量标准,来为扩展原始项目争取支持,或只是展�示相关项目将产生哪些有意义的影响。
ROI 衡量指标 2:降低 Web 应用数据泄露风险
一些安全投资不会直接影响收入,例如,完全侧重于防范未来可能发生的数据泄露的投资。这种情况下,安全领导者在衡量 ROI 时需要找到微妙的平衡点。一方面,专有风险指标可能难以掌握。另一方面,数据泄露平均成本可能相当高昂,这可能会让人觉得危言耸听。而且安全领导者也知道,他们无法简单地承诺能够防范所有未来的数据泄露事件。
为了采取更加审慎的方法,安全领导者可以使用以下数字:
在给定时间段内发生数据泄露的可能性。根据可用的数据,使用真实的公司数据或行业基准数据可能更合理。
数据泄露的平均成本。同样,行业基准可能有助于确保这个数字更加准确。
源自相关攻击面/攻击手段的泄露事件的百分比。
通过安全投资,降低风险的百分比。尽可能使用被广泛认可的指标。例如,对于 Web 应用,它可能有助于确定安全投资解决或阻止了多少 OWASP 十大漏洞。
这些数字让安全领导者能够对与数据泄露相关的成本节省进行更细致的估算,并帮助其他领导者以更明确的方式了解不确定的终极结果。
ROI 衡量指标 3:通过节省团队时间,节省成本
对于不会直接影响企业风险状况的投资,安全领导者仍应努力证明这些投资对团队生产力和效率的影响。如果安全团队通过某项特定的投资节省了时间(或有望节省时间),则其他领导者可能并不会过度担心初始成本。此外,更多团队时间意味着,有更多时间专注于更具战略性的工作。
计算此成本的一种方法,需要以下数字:
雇用一名安全团队成员的平均每小时成本。根据投资性质,您可能希望重点关注受投资影响的特定团队成员,或推断它可能对整个团队的影响。
安全投资每周/每月/每年节省的小时数。这可能涉及估算执行相关任务所需的平均时间,例如:回复工单、更新策略或用户引导。此外,较短的时间段可能更有利于资源规划,而较长的时间段则更有利于节约总体成本。
除了上述优势之外,将这两个数字相乘会得出一个衡量指标,让那些可能没有意识到安全从业人员工作价值的领导者看到切实的时间节省效果。
适当的安全平台可以提高 ROI
如果安全服务无法从一开始就带来优势,则无法衡量其好处。遗憾的是,许多安全平台存在结构性缺陷,导致其效率和可见性降低,原因如下所述:
需要手动集成和/或额外的统一服务,才能让所有服务协同发挥作用
不同的服务集合,拥有多个用户界面
各种服务分布在不同的基础设施中,导致性能和可用性问题
Cloudflare 全球连通云则有所不同,它是一个统一的、云原生安全与连接服务平台。从零开始构建时就充分考虑了效率、可见性和控制力,具体表现在:
可组合、可编程的架构:每项服务能够在网络中的每台服务器上运行,并且可以通过简单的无服务器功能进行自定义。
全球覆盖,无处不在:覆盖全球 330 多个城市,并与超过 13,000 个其他网络互连。
跨职能威胁情报,为每一项服务提供支持:这些情报是从为全球约 20% 的 Web 流量提供的服务中获取。
统一、简化的界面:用户可以通过单一面板,管理每一项安全服务。
Forrester 最近的一项研究发现,代表受访客户的一家综合性企业在三年内保护了近百万美元的收入,将 Web 应用数据泄露风险降低了 25%,并实现了 238% 的投资回报率。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
深入探讨这个话题
阅读 Forrester《Cloudflare 全球连通云的总体经济影响》报告,了解 Cloudflare 全球连通云的 ROI,包括此类具体衡量指标。
关键要点
阅读本文后,您将能够了解:
如何衡量不同类型安全措施的 ROI
安全 ROI 衡量标准如何支持未来投资
可提供最佳 ROI 的安全平台类型