在訪談中，ArmorCode的首席安全與信任官Karthik Swarnam討論了衡量網(wǎng)絡(luò)安全ROI的關(guān)鍵指標(biāo)和KPI，分享了通過主動(dòng)措施和與高管有效溝通來提升ROI的策略。 

衡量網(wǎng)絡(luò)安全投資回報(bào)率的主要指標(biāo)和KPI是什么？ 

如今，網(wǎng)絡(luò)安全投資不僅僅是為了避免成本，而是為了獲得更廣泛的利益，這些指標(biāo)包括： 

? 生產(chǎn)力：網(wǎng)絡(luò)安全措施可以顯著提高生產(chǎn)力，通過減少因安全漏洞導(dǎo)致的停機(jī)時(shí)間來提高運(yùn)營效率和員工表現(xiàn)，衡量這一點(diǎn)的一個(gè)具體指標(biāo)是事件發(fā)生后的平均控制時(shí)間（MTTC）。 

? 安全態(tài)勢：通過跟蹤實(shí)施安全措施前后的漏洞數(shù)量和嚴(yán)重程度，可以量化企業(yè)的整體安全態(tài)勢，一個(gè)關(guān)鍵指標(biāo)是減少修復(fù)活動(dòng)的同時(shí)保持或提高安全態(tài)勢，這可以通過節(jié)省的工作時(shí)間或努力來衡量，傳統(tǒng)的衡量指標(biāo)包括檢測到的事件數(shù)量、平均檢測時(shí)間（MTTD）、平均響應(yīng)時(shí)間（MTTR）和補(bǔ)丁管理（部署修復(fù)的平均時(shí)間），安全意識(shí)培訓(xùn)和衡量釣魚攻擊成功率也很重要。 

? 網(wǎng)絡(luò)保險(xiǎn)費(fèi)：有效的網(wǎng)絡(luò)安全策略可以降低網(wǎng)絡(luò)保險(xiǎn)費(fèi)，反映出企業(yè)的風(fēng)險(xiǎn)狀況降低。 

? 上市時(shí)間：安全開發(fā)實(shí)踐，如將安全評估移到軟件開發(fā)生命周期的早期階段，可以減少新產(chǎn)品和服務(wù)的上市時(shí)間，下一代安全計(jì)劃應(yīng)該能夠衡量這一屬性。 

? 風(fēng)險(xiǎn)緩解成本：評估風(fēng)險(xiǎn)緩解策略的成本效益至關(guān)重要，這包括將各種安全措施的成本與安全事件的潛在損失進(jìn)行比較，并將這一數(shù)據(jù)與補(bǔ)丁管理和已修復(fù)的漏洞數(shù)量聯(lián)系起來，現(xiàn)代計(jì)劃使企業(yè)能夠從風(fēng)險(xiǎn)的角度優(yōu)先修復(fù)最重要的問題，總體而言，修復(fù)成本比事件成本更能反映企業(yè)的整體安全態(tài)勢。 

? 工具優(yōu)化：通過利用治理層，企業(yè)可以消除冗余的安全工具，優(yōu)化其安全投資，對安全工具的持續(xù)評估確保只使用最相關(guān)的解決方案，年度安全支出應(yīng)與企業(yè)的有效性衡量標(biāo)準(zhǔn)一起考慮，并且該標(biāo)準(zhǔn)應(yīng)靈活適應(yīng)工具和應(yīng)用環(huán)境的特殊性——每項(xiàng)技術(shù)應(yīng)有三個(gè)可衡量的成功指標(biāo)。 

? 客戶體驗(yàn)：改進(jìn)身份和訪問管理可以簡化用戶驗(yàn)證步驟，通過減少憑證驗(yàn)證相關(guān)的摩擦來提高客戶體驗(yàn)。 

? 網(wǎng)絡(luò)性能：增強(qiáng)網(wǎng)絡(luò)安全也可以改善網(wǎng)絡(luò)連接性和減少延遲，從而提高整體系統(tǒng)性能并阻止惡意攻擊。 

? 數(shù)據(jù)保護(hù)：實(shí)施強(qiáng)有力的安全控制措施可以最大限度地降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)和影響，通過監(jiān)控?cái)?shù)據(jù)丟失防護(hù)（DLP）違規(guī)行為并響應(yīng)警報(bào)來保護(hù)企業(yè)免受數(shù)據(jù)丟失的嚴(yán)重后果。 

什么樣的主動(dòng)投資策略可以在企業(yè)網(wǎng)絡(luò)安全中帶來更高的ROI？ 

在網(wǎng)絡(luò)安全中，主動(dòng)投資策略通過預(yù)防事故發(fā)生和優(yōu)化安全操作可以顯著提高投資回報(bào)率，關(guān)鍵策略包括： 

? 推進(jìn)左移安全：投資于早期的安全評估和漏洞識(shí)別，可以在問題變得嚴(yán)重之前就減輕風(fēng)險(xiǎn)，這種方法確保從開發(fā)過程一開始就集成了安全性。  

? 利用安全態(tài)勢管理：實(shí)施應(yīng)用安全態(tài)勢管理（ASPM）等解決方案，有助于識(shí)別和優(yōu)先處理對企業(yè)最重要的風(fēng)險(xiǎn)，而不是不加區(qū)分地處理所有漏洞。  

? 部署治理工具：部署治理工具可以為特定員工群體（如開發(fā)人員）提供量身定制的培訓(xùn)，而不是一刀切的方法，這種有針對性的培訓(xùn)提高了安全措施的有效性并降低了成本。  

? 最大化工具優(yōu)化：企業(yè)經(jīng)常積累過多的安全工具，導(dǎo)致重復(fù)和效率降低，簡化、整合和優(yōu)化安全工具可以帶來顯著的成本節(jié)約和改進(jìn)的安全成果，例如，將治理、風(fēng)險(xiǎn)和合規(guī)（GRC）與漏洞管理集成到一個(gè)平臺(tái)中，可以簡化操作并減少冗余。 

向高管領(lǐng)導(dǎo)和利益相關(guān)者展示網(wǎng)絡(luò)安全投資ROI的最佳實(shí)踐是什么？ 

向高管領(lǐng)導(dǎo)和利益相關(guān)者展示網(wǎng)絡(luò)安全投資的ROI需要清晰、基于指標(biāo)的溝通。最佳實(shí)踐包括： 

? 基于指標(biāo)的方法：使用具體、可量化的指標(biāo)展示安全態(tài)勢和運(yùn)營效率的改善，例如，強(qiáng)調(diào)漏洞修復(fù)時(shí)間的減少、事件響應(yīng)成本的下降和合規(guī)率的提高。  

? 與業(yè)務(wù)對齊的安全性：展示網(wǎng)絡(luò)安全措施如何與業(yè)務(wù)目標(biāo)對齊并支持業(yè)務(wù)目標(biāo)，這包括更快的產(chǎn)品交付、縮短的上市時(shí)間和提高的客戶滿意度。  

? 以風(fēng)險(xiǎn)為中心的報(bào)告：強(qiáng)調(diào)專注于最關(guān)鍵的業(yè)務(wù)特定風(fēng)險(xiǎn)如何帶來更好的資源分配和減少不必要的修復(fù)工作。  

? 工具優(yōu)化的好處：展示通過優(yōu)化安全工具和消除重復(fù)帶來的成本節(jié)約和效率提升。 

集成先進(jìn)技術(shù)如AI和機(jī)器學(xué)習(xí)對網(wǎng)絡(luò)安全ROI有何影響？ 

集成先進(jìn)技術(shù)如AI和機(jī)器學(xué)習(xí)可以通過動(dòng)態(tài)優(yōu)化安全解決方案深刻影響網(wǎng)絡(luò)安全ROI，使企業(yè)能夠?qū)崟r(shí)適應(yīng)不斷變化的威脅，這些技術(shù)增強(qiáng)了威脅檢測能力，比傳統(tǒng)方法更快、更準(zhǔn)確地識(shí)別和響應(yīng)威脅，從而減少安全事件的可能性和影響。 

此外，AI驅(qū)動(dòng)的自動(dòng)化簡化了安全操作，減少了對人工干預(yù)的需求，并釋放資源用于更具戰(zhàn)略性的活動(dòng)，這種動(dòng)態(tài)威脅管理、有效響應(yīng)能力和操作自動(dòng)化的結(jié)合，顯著提升了網(wǎng)絡(luò)安全投資的整體效益和成本效率。 

你會(huì)給希望提高其企業(yè)網(wǎng)絡(luò)安全投資回報(bào)率的安全專業(yè)人士哪些建議？ 

為了提高網(wǎng)絡(luò)安全投資回報(bào)率，安全專業(yè)人士應(yīng)該： 

? 建立清晰的指標(biāo)：在身份和訪問管理、風(fēng)險(xiǎn)修復(fù)、軟件開發(fā)、數(shù)據(jù)丟失防護(hù)和消息安全等各個(gè)領(lǐng)域定義并衡量關(guān)鍵指標(biāo)。 

? 開發(fā)相關(guān)措施：確保所使用的指標(biāo)與企業(yè)的具體背景和目標(biāo)相關(guān)且有意義。 

? 設(shè)定安全容忍度：建立可接受的風(fēng)險(xiǎn)水平，并將這些作為評估安全性能的基準(zhǔn)。 

? 定期報(bào)告：定期生成安全測量和報(bào)告，以保持可見性和問責(zé)性，這有助于持續(xù)跟蹤進(jìn)展并根據(jù)需要對安全策略進(jìn)行知情調(diào)整。 

通過優(yōu)先考慮以上措施，企業(yè)可以展示其網(wǎng)絡(luò)安全投資的價(jià)值，并通過改進(jìn)的安全性和運(yùn)營效率獲得更高的投資回報(bào)。