优化安全支出的 11 条建议

GZGame

　　你知道的安全建议中，一个坚固的防火墙，不足以保护周边，所以你也需要你的内部网络的全面可视性。别忘了防病毒。最好通过频繁的测试来确保一切正常工作！

　　当然，问题是所有都需要花钱——许多组织必须对支出谨慎。不是为了不买或你买不起的东西而对你大喊大叫，而是决定与安全专家交谈，了解他们是如何决定信息安全分类的：他们如何决定在何处引导有限的资源，以及可以采取什么措施来减少支出资金。我们还得到了一些帮助管理“发现”在预算中的钱，可以投入到网络安全的一些提示。

1.找出哪些数据需要真正的保护

　　服务器上的所有东西不都是黄金，不是所有东西都需要同样的防御级别。可能你的一些数据并不重要，诸如用户订单号和与内部处理相关的其他信息之类的东西并不重要。付款信息，联系信息和任何客户个人信息应被视为重要。重要的数据应该保存在不同的数据存储中，并且应该被视为你的系统管理员的个人宠物。

　　一般来说，从你公司的业务目标开始，然后，看看哪些最重要的资产是支持这些目标的。例如，如果你是零售商，就必须保护客户的支付数据和其他个人可识别的信息。同样重要的是，客户在任何时候都可以安全地在你的网站上进行交易，以赚取收入。

2.迈步走

　　最重要的一件事，最有效的方法是把整个问题分解成小的、可管理的块。着眼于小的、迭代的和可测试的改进。随着时间的推移，将增加一个更强大的安全姿态。应该尽最大努力集中精力在一两件事情上。如果你正在处理十个不同的计划，那么你就花费了太多的时间上下文转换，而你的进步将是微乎其微的。

3.拥抱自动驾驶仪

　　任何在IT战壕工作的人都知道重复的咕咕声工作会使工作人员难受。今天的安防商店正被大量的门票和警报所杀害，他们的处理过程将风险降到最低。很多问题只是重复性的问题：加密是怎么做的？登录中？单点登录？多因素认证？它花费了大量的时间，所以我们要搬到一个出口NDA包裹的自助服务门户。

　　建议部署自动化的数字取证工具来分析受损的机器。公司不再需要派人到现场，或者在PC上安装任何东西。他们可以避免为一个经验丰富的分析家花费宝贵的资源进行法医工作。相反，数字工具提供了快速和低成本的网络响应。

4.集中与规范

　　复杂性是安全的敌人，为了减少工作量，在组织中需要使用一套标准化的安全资源、过程和工具。在最大程度上，将安全防御集中在简单、有效的控制上。当每个项目采用不同的方法时，将不可能进行评估和保护。

5.依靠社区

　　提醒你，你并不孤单：外面有一个社区可以帮助你。在我的经验中，我使用开源工具来让我们摆脱困境。很多人都是免费的——你的老板怎么能自由地争论呢？-而且大多数都有付费版本的升级路径。这给了你一个很好的起点。“他还敦促你”加入当地的聚会，并通过LinkedIn寻求联系，谁可以提供合理的建议。

6.钢笔测试

　　仅仅因为你承受不起来自外部团队的大规模模拟黑客攻击，并不意味着你应该放弃测试。如果你有一小队人，你没有足够的资源进行渗透测试，那么可以尝试团队建设练习一个‘黑客之夜’，在这里，你试图在不使用常规的管理访问的情况下互相破坏代码和系统。

7.做最坏的打算

　　对最坏情况的规划不涉及购买任何硬件或软件，如果你最终被黑客攻击，真的会产生影响。有一个事件响应计划，安全传道者在提供负载平衡和网络安全服务。第一条建议是在安全事件的情况下做好准备。RADWORD的年度全球安全报告发现，3家企业中就有1家没有到位的应急响应计划。即使你在安全预算中没有一美元，计划一个潜在的事件是可能的，并将有助于确定你的损失。
8.付钱给别人

　　从长期来看，外包安全功能可以节省资金。像任何一个服务提供商一样，他们已经建立了大量的专有技术，大量的知识产权和知识来传递我们的服务。一些客户每月至少100美元的产品，远低于他们必须支付内部人员来应付相同的任务。

　　一个渔民，想出去钓鱼，举例说。他不想花时间在车库里制作自己的鱼钩，因为已经有世界级的鱼钩了，售价2.39美元。人们对能够制造自己的鱼钩非常非常有信心，但事实上是你还有其他事情要做。


9.随手付钱

　　即使你每月支付超过100美元，外包交易也可以替代经常性的费用来支付巨额的、不可预知的资本支出。建议您应该尽可能地去做。建议用运营支出（OPEX）模型代替资本支出（CAPEX）。有时在预算上更容易为OPEX而不是CAPEX来资助产品或服务。也许你是通过OPEX购买网站上的设备，或者你买东西作为服务。OPEX模型允许您在没有巨额资本支出的情况下测试水域。如果这是一个选择，这是值得去问你的供应商。


10.破解ORG图

　　有时候，重新调整人们在IT之外的思维方式是必要的，这样可以让钱奇迹般地出现在IT安全上。你可以做一个快速的社会工程测试，这可以证明它不仅仅是机器——它是人们被正确训练的机器。如果你对被训练的人有一个问题，这是一个相当有力的论点，这是一个人力资源问题。当你把注意力转移到其他部门时，它也会把注意力转移到预算上。总体目标是更好的信息安全，但你必须证明这也是其他部门的责任。


11.跟着钱走

　　事实上，获得网络安全基金的一个关键是不要把你的问题作为一个纯粹的IT问题。你问他们，作为一个公司，如果我们的客户关系管理系统被黑客入侵，我们能做什么？每一个小时的实际成本是多少？然后，开始量化它，使公司高层人士更容易做出选择。如果你坐在CEO面前谈论各种各样的攻击和风险，那么它不一定会与他们联系。但当你说，如果这些系统性能下降，在这段时间内它花费了？？？钱，这才是一个标准的商务对话，在那一点将导致他们作出一个相当快的决定。