計算安全投資的 ROI
將安全性從成本中心轉變為策略價值
儘管近期勢頭強勁,但網路安全要躋身企業優先事項清單的前列,仍有很長的路要走。
當然,許多 CISO 直接向 CEO 匯報工作,並被要求與公司董事會討論風險和合規性問題。然而,超過一半的安全團隊表示,他們資金不足,無法進行降低風險的關鍵投資。無論公平與否,許多組織最終還是將其安全團隊視為成本中心——當預算緊縮或財務預測變得不穩定時,這種看法可能會使安全投資成為削減對象。
要改變這種看法,安全性領導者需要花費大量時間與其他部門的同事建立良好關係,並將安全策略與公司更廣泛的業務優先事項保持一致。在此過程中,討論先前安全性投資的投資報酬率 (ROI) 可能會有所幫助。此類衡量可以幫助其他領導者瞭解安全團隊已經創造了多少價值,並有可能說服他們繼續支援類似的投資。
將 ROI 衡量與企業優先事項保持一致
在決定衡量哪些 ROI 並深入研究資料之前,安全性領導者應先決定他們想要講述什麼樣的故事。任何數字或指標,無論多麼令人印象深刻,如果不能與更廣泛的業務優先事項相一致,都可能顯得毫無意義。
以下是三個常見的數位優先事項,以及可以為其提供支援的各種 ROI 衡量方式:
請繼續閱讀,瞭解執行每種衡量的具體方法。
ROI 衡量 1:因減少 Web 應用程式服務中斷而保護的收入
存在許多用於量化風險及其減少程度的指標和分數。這些分數對安全團隊當然有幫助,但對於組織中的其他人來說,可能感覺過於抽象,難以理解。
相反地,當談及安全增強措施的影響時,請嘗試將其與整個企業都關心的某個數據聯繫起來。在 Web 應用程式安全性的背景下,此類數據之一是該 Web 應用程式所產生的收入。衡量您的安全改進措施如何保護收入,遠比單一的風險分數更具體。
要進行此類衡量,您需要以下資料:
您的網站在進行相關投資之前和之後,因攻擊而導致的停機時間總量。理想情況下,應以一年內的停機小時數來衡量,因為較短的時間範圍可能無法考慮到高銷售期間。很可能需要針對不同類型的攻擊(例如DDoS、惡意機器人)獲得此數據的不同版本。
您網站的每小时/每日停機成本。對於 B2C 公司而言,您的電子商務團隊應該能夠告訴您網站每小時創造的收入是多少。對於 B2B 公司,您的行銷團隊可能能夠告訴您網站每小時/每日產生的線索客戶或表單填寫數量,以及每個線索客戶的平均價值。無論哪種方式,一個廣泛的月度/年度平均值是一個良好的起點——儘管您可能希望瞭解攻擊常發時段(例如假日購物季)的平均值。
有了這些數據,您就能得出一個有說服力的估算值,來衡量透過攔截更多某類型攻擊所保護的收入金額。您可以利用這種衡量方式來爭取對原始專案擴展的支援,或者僅僅是證明相關專案將會產生有意義的影響。
ROI 衡量 2:降低 Web 應用程式外洩風險
有些安全性投資並不會直接影響收入——例如,如果這些投資完全集中於防止假設性的未來外洩事件。在這種情況下,安全性領導者在衡量 ROI 時需要謹慎地取得平衡。一方面,專屬的風險指標可能難以理解;另一方面,資料外洩的平均成本數據可能非常龐大,這可能會讓人感到過於危言聳聽。而安全性領導者也知道,他們無法簡單地承諾能防止所有未來的漏洞。
為了採取更為謹慎的方法,安全性領導者可以使用以下數據:
在給定時間段內發生外洩的可能性。根據可用的資料情況,使用真實的公司資料或產業基準可能更為合適。
資料外洩的平均成本。同樣,產業基準可以幫助使這一數據更加準確。
源於相關攻擊面/媒介的外洩事件百分比。
透過安全性投資降低的風險百分比。盡可能使用廣泛接受的指標。例如,對於 Web 應用程式,可以透過安全性投資解決或防範了多少個 OWASP Top 10 威脅來衡量。
這些數據讓安全性領導者能夠更精細地估算與資料外洩相關的成本節省情況,並以更切實的方式幫助其他領導者理解這一從本質上而言並不確定的概念。
ROI 衡量 3:透過節省團隊時間來節省成本
對於那些不會直接影響組織風險狀況的投資,安全性領導者仍應努力展示其對團隊生產力和效率的影響。如果您的安全團隊透過某項投資節省了時間(或者有望節省時間),那麼其他領導者可能就不會那麼擔心其初始成本了。此外,為團隊節省了時間,意味著團隊有更多時間專注於更具戰略性的工作。
計算這一指標需要以下數據:
僱用一名安全團隊成員的平均時薪成本。根據投資的性質,您可能希望專注於受該投資影響的特定團隊成員,或者推算這可能對整個團隊的影響。
您的安全投資每週/每月/每年節省的小時數。這可能涉及執行相關工作所需的平均時間的估計,例如處理工單、更新原則或讓使用者上線。此外,較短的時間段可能更適合資源規劃目的,而較長的時間段可能更適合整體成本節省目的。
除了上述好處之外,將這兩個數據相乘可以得到一個衡量指標,這個指標能讓那些可能不瞭解安全從業人員價值的領導者切實感受到節省時間所帶來的好處。
正確的安全平台能帶來更高的投資報酬率
如果某種安全服務的好處根本沒有體現出來,則無法衡量該好處。不幸的是,許多安全平台都由於下列原因而存在結構性缺陷,從而降低了其效率和可見性:
需要手動整合和/或額外的統一服務,以便讓所有功能都能協同工作
針對不同服務集合的多個 UI
各種服務位於不同的基礎架構上,導致效能和可用性問題
Cloudflare 的全球連通雲是一個統一的雲端原生安全和連線服務平台,它並沒有上面所說的缺陷。該平台在最初建置時就考慮了效率、可見性和控制力,具體方式如下:
可組合且可程式設計的架構:每項服務都能夠在網路中的每台伺服器上執行,並可透過簡單的無伺服器功能進行自訂。
全球普遍覆蓋:覆蓋全球超過 330 座城市,並與超過 13,000 個其他網路互連。
為每項服務提供支援的跨功能威脅情報:透過為約 20% 的全球 Web 流量提供服務收集而來。
統一、簡化的介面:使用者可以透過單一管理平台管理每一項安全服務。
Forrester 最近的一項研究發現,一家代表受訪客戶的複合型組織在三年內保護了近百萬美元的收入,將 Web 應用程式的外洩風險降低了 25%,並實現了 238% 的投資報酬率 (ROI)。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
深入探討這個主題。
閱讀 Forrester《Cloudflare 全球連通雲總體經濟影響》報告,瞭解 Cloudflare 全球連通雲的投資報酬率(包括本文中所提及的具體衡量指標)。
重點
閱讀本文後,您將能夠瞭解:
如何衡量不同類型安全措施的投資報酬率
安全性 ROI 衡量如何支援未來的投資
可提供最佳 ROI 的安全平台類型