网络安全预算合理化:从ROI到ROM的价值衡量新方法
预算困境与ROI的局限性
去年,由于漏洞利用导致的数据泄露事件增加了180%,而美国数据泄露的平均成本接近500万美元。然而,组织在增加网络安全预算方面仍然缓慢,许多组织默认采用危险的做法,只资助那些用于证明合规性所需的网络安全投资。
问题在于网络安全领导者如何倡导他们的网络安全支出;传统的投资回报率(ROI)指标并不适用。这是因为这些指标没有充分考虑主动网络安全投资价值的因素,因此难以用货币形式证明其全部价值。
为什么ROI不适用于网络安全
ROI仍然是企业其他大部分领域证明支出和衡量投资效率的黄金标准,但将ROI应用于网络安全存在明显挑战。与产品和销售等其他可以直接将收入归因于投资的领域不同,衡量主动网络安全工作需要基于成本预防而非收入来分配价值。你的回报不再是利润,而是通过阻止潜在泄露、声誉损害、停机时间或后续收入影响所节省的资金。
数据泄露的复杂连锁效应包括许多因素,包括直接和间接成本,这些都必须考虑才能准确衡量网络安全的影响。ROI无法捕捉任何这些成本。事实上,最近的一份报告显示,许多安全领导者已经认识到ROI的缺陷:
- 77%的人认为ROI忽略了事件响应和长期稳定性
- 66%的人强调ROI无法考虑间接成本并高估直接成本
- 超过一半的人认为ROI未能考虑所有贡献于网络安全价值的因素
引入缓解回报率(ROM):证明价值的新方法
缓解回报率(ROM)通过使用"缓解损失"作为投资的收益而不是净利润来提升ROI。安全领导者可以通过将缓解损失的总成本减去投资成本,然后除以投资成本本身来估算ROM。这样,安全领导者可以更全面地了解网络安全计划的财务影响,并有效沟通这些努力如何与其他关键组织目标保持一致。
ROM还帮助安全领导者:
- 将网络安全价值简化为财务术语,并证明可量化的风险降低
- 支持预算论证,并更好地优先考虑具有影响的安全计划
- 向董事会和其他非安全中心利益相关者清晰传达安全影响
ROM带来的行业级效益
在组织层面,ROM更好地量化了主动网络安全的更抽象好处,如客户信任、声誉和稳定性。随着安全领导者持续评估其技术栈中的安全工具,并倡导增加网络安全工具支出以跟上威胁步伐,他们现在可以用财务领导者理解的语言更准确地进行:金钱。
在整个行业范围内,采用ROM还将帮助组织实现测量标准化,并帮助他们获得最大利益。衡量价值的标准化框架可以帮助组织在行业内基准测试其性能,并帮助他们更好地识别在安全成熟度方面相对于同行落后的地方,这最终会提高更广泛领域的整体成熟度。
加强投资和利益相关者协调
随着网络安全事件的持续增加,安全领导者需要一种可辩护的方式来传达主动降低风险的价值。传统的ROI在捕捉避免的损失方面存在不足,使得倡导充分投资和长期规划更加困难。
ROM提供了一条更清晰的道路。通过将安全投资与可衡量的结果联系起来——如降低泄露可能性和财务影响——首席信息安全官(CISO)可以协调内部利益相关者,并根据实际风险证明支出的合理性。这使得预算对话更加有效,并将安全成熟度定位为业务优势。