投资回报的核心在于是否物有所值?这是在决定任何采购时的核心问题。证明网络安全产品的投资回报率(ROI)是众所周知的困难,也是当今网络安全状况不佳的根本原因之一。
主要问题是,很难去展示网络安全产品的投资回报的有型收益,因为它基于假设的情况。“如果企业没有配置安全产品,就会被入侵17次,而不是3次”——这论题很难证明。因此,很多公共和私营部门的安全专业人士在评估网络安全产品时,都对投资回报率表示怀疑,认为产品注定要失败。
即便如此,想要获得持续的资金和支持,必须证明安全支出的价值。
如何在不依赖假设场景的情况下展示投资回报率?
假设你所在的机构已经购买并部署了一个威胁情报共享系统。在部署这个系统之前,安全人员是否处理了更多的入侵事件?
如果这个数量较少,并且可以归因于这个系统,那就太好了。不过,一个更贴切指标或许是尝试入侵与成功入侵的比例:这个比例下降了吗?如果数字下降了,你可以通过计算响应入侵事件的员工的人工费率来展示投资回报率的有形收益 。
行动计划和里程碑(Plan of Action & Milestones, POA&M) 的完成是另一个度量标准:您是否比采购前更快地完成它们?如果是,加速完成是否得益于你安装的系统吗?完成POA&M的预计成本与实际成本相比如何?当然,预计成本需要猜测,但这种方法至少使用了一些具体的财务指标。
一些安全事件和事件管理(SIEM)系统对数据处理按字节收费。是否有预处理系统可以对数据进行表转化和删除重复数据,从而降低使用SIEM的成本?
有些指标用美元和美分表示,但是通过将ROI的概念扩展为包含可量化的指标,就有可能展示一笔特定的支出如何带来了可量化的收益 。
例如,一个新的钓鱼检测系统可能比旧的系统捕获更多的非法电子邮件。将这种改进用钱表示可能是困难的,但它仍然是可衡量的和具体的,而这种特质正是精打细算的人欣赏的。
因此,本文建议重新审视网络安全领域的ROI概念。也许有一些创造性的方法可以从金钱上证明一项采购是合理的,但即使想要通过可靠的非财务统计数据,获得预算资金来改善一项安全计划,也需要走很长的路。