随着企业成本压力的不断增加,每一位 IT 专业人员都迫切想知道可以在安全方面投入的理想资金。判断安全投资能够产生多少回报并非易事,特别是在尚未遭受任何攻击的情况下。这使得评判安全投资的合理性变得尤其困难。
但是,如果每年花费在从安全事故中恢复的成本是防御漏洞攻击所需预算的两倍以上,您又会如何看待安全投资呢?大多数中型企业每年在前瞻性安全技术上的投入不足 20000 美元,而去年平均安全事故补救成本却高达 43000 美元。
即便如此,中型企业仍在不断削减安全预算。虽然全球针对中型企业的网络攻击增幅高达71%,但这些企业却置若罔闻。
迈克菲的一名客户表示:“作为一家信用合作社,我们的第一要务是保护成员的数据安全。但是,我们很难在安全方面始终做到万无一失,而不发生数据泄露。企图攻击数据和 IT 系统的新威胁层出不穷,我们必须做到更胜一筹。因为我们知道攻击者必定会不断尝试进行攻击,只是时间和方式的问题。”
迈克菲将这种现象称为中型企业安全困境——威胁日渐猖狂,安全预算却在不断缩水。中型企业的 IT 主管对此深感忧虑。事实上,很大一部分 IT 主管都认为中型企业存在出现严重数据泄露的可能性,一旦发生将导致业务无法正常运营。
行业分析师对此表示赞同。Forrester Research 指出,缺少预算和人员仍然是中小型企业安全决策者面临的主要挑战。(《中小型企业 IT 安全状况和新兴趋势:2009 年至 2010 年》,2010 年 1 月。)
经济成本
迈克菲研究显示:从 2008 年到 2009 年,美国中型企业共计花费了 172 亿美元来弥补 IT 安全事件带来的损失。平均一家美国中型企业因 IT 安全事件而支出的费用超过 75000 美元/年。而在中国,这个数字是 85000 美元。
时间成本
在加拿大,迈克菲调查的三分之一的公司每周在安全防护上花费一小时或更短时间。而在美国,绝大多数公司每周都要在安全防护工作上花费四小时以上。
那么,在前瞻性维护上投入的时间是物有所值的吗?请考虑一下:在接受调查的加拿大公司中,那些受到攻击的企业需要长达一周以上时间才能恢复。与其相比,美国公司可能在前期投入了更多时间,但在遇到类似攻击的情况下,只需不到一天时间即可恢复。
这意味着主动安全防御可将恢复时间从一周缩短至一天——85%的提高。统计数字毋庸置疑,更重要的是,两者之间的差别可能是仅仅停运几小时和长期业务瘫痪之间的差别。
机会成本
现在,您知道了遭受攻击后的恢复工作所需的平均时间。具体的恢复时间视您采取的保护措施而定。但给企业带来的影响可能远远不止于此。
试想一下,如果公司遭到攻击的消息公诸于众,公司声誉会受到何种影响,可能直接导致收入损失。丧失客户信任或品牌声誉受损的后果也是极为严重的。除此之外,如果关键业务项目遭受安全威胁和损失或者停滞不前,公司也很容易失去市场。
采取有效控制
我们要面对现实:安全问题是错综复杂又是无法回避的,威胁正以惊人的速度增长。迈克菲实验室在 2009 年发现了 250 多万种恶意软件,相比 2008 年的 100 万增加幅度惊人,而且专家预测形势可能变得更加严峻。Forrester 指出,人们对威胁状况的担忧日渐增长,却无法跟上不断发展的黑客技术步伐。IT 主管很难完全掌控安全状况,网络罪犯深知这一点。对员工数量不足 500 人的公司发起攻击更加容易得手。对于黑客而言,中型企业是极易得逞的攻击目标。
但是,您不一定要成为安全专家或超出预算才能实现强大的安全保护。只要措施得当,从长远考虑甚至可以节约资金。我们当前需要防范的主要威胁攻击媒介共有五种,包括电子邮件、Web、网络、系统和数据。这些媒介重要性相同,应同等对待。迈克菲研究表明,通过这些媒介发起的攻击所带来的损失基本是相同的。
如果企业愿意在前期投入一点时间和预算,只需每天花费十五分钟,即可轻松确保企业安全。这样不但可以使企业得到有效的安全保护,同时确保企业获得保持高效率工作所需的安全互联网连接。
Alex Thurber 现任迈克菲全球渠道运营高级副总裁,主管迈克菲全球中小企业市场业务。
(上述统计数据及研究内容来自迈克菲《安全悖论》报告)