證明安全價(jià)值的三種策略

Mary K. Pratt

安全主管Ricardo González并沒有將IT安全視為成本中心。相反，他將其描述為“一項(xiàng)可降低企業(yè)風(fēng)險(xiǎn)的戰(zhàn)略投資，能夠?yàn)閷?shí)現(xiàn)業(yè)務(wù)價(jià)值做出積極貢獻(xiàn)?！?/p>

在這方面，整個(gè)公司的高層都沒有給予充分重視。不過，隨著首席信息安全官及其安全團(tuán)隊(duì)開始逐漸成熟并成為了行政領(lǐng)導(dǎo)者，這一觀點(diǎn)才開始流行。

作為國(guó)際保險(xiǎn)巨頭蘇黎世保險(xiǎn)集團(tuán)西班牙分公司的運(yùn)營(yíng)風(fēng)險(xiǎn)與控制主管和業(yè)務(wù)彈性經(jīng)理的González說，越來越多的首席信息安全官開始認(rèn)同他的觀點(diǎn)，并希望對(duì)安全價(jià)值進(jìn)行量化。他說：“首席信息安全官們?cè)絹碓疥P(guān)注如何衡量自己的貢獻(xiàn)了。”

這項(xiàng)工作非常重要并且是值得的，但是許多首席信息安全官們都是竭力從財(cái)務(wù)的角度出發(fā)闡明安全為企業(yè)提供了什么，以及帶來了多少價(jià)值。盡管專家表示，這么做也是有必要的。

González說：“對(duì)于銷售、生產(chǎn)、采購(gòu)甚至對(duì)于IT來說，證明業(yè)務(wù)價(jià)值都比較容易。但是對(duì)于合規(guī)性、風(fēng)險(xiǎn)管理或信息安全等功能而言，證明它們的價(jià)值則更具挑戰(zhàn)性，重要的是實(shí)現(xiàn)它們的價(jià)值。這些領(lǐng)域的專業(yè)人員通常會(huì)誤以為這些是某種程度上的‘必要，是業(yè)務(wù)成本的一部分。這是一種誤解。你應(yīng)盡可能地幫助高效地實(shí)現(xiàn)業(yè)務(wù)目標(biāo)、達(dá)到頂線增長(zhǎng)和守住榮枯線，并盡可能減少浪費(fèi)。如果沒有人在衡量你的貢獻(xiàn)，那么我應(yīng)該考慮如何做到更好。”

對(duì)于首席信息安全官而言，這是新領(lǐng)域，他們過去一直專注于評(píng)估戰(zhàn)術(shù)上的改進(jìn)，例如實(shí)施的補(bǔ)丁數(shù)量或阻止的拒絕服務(wù)攻擊。這項(xiàng)工作特別具有挑戰(zhàn)性，因?yàn)楸娝苤?，安全投資的投資回報(bào)率是難以計(jì)算的。那么在沒有安全情況發(fā)生時(shí)應(yīng)當(dāng)如何進(jìn)行衡量呢？

一些安全主管、研究人員和網(wǎng)絡(luò)安全顧問表示，有很多方法可以做到這一點(diǎn)。 他們一致認(rèn)為，首席信息安全官現(xiàn)在需要量化考評(píng)和關(guān)鍵績(jī)效指標(biāo)（KPI），以更好地展示安全功能為整個(gè)企業(yè)所帶來的業(yè)務(wù)價(jià)值。

市場(chǎng)研究機(jī)構(gòu)Gartner Research負(fù)責(zé)風(fēng)險(xiǎn)與安全管理團(tuán)隊(duì)的主管Sam Olyaei說：“傳統(tǒng)的安全儀表盤或記分卡主要是由處理的項(xiàng)目或漏洞、網(wǎng)絡(luò)釣魚點(diǎn)擊率和所修補(bǔ)的程序組成的。盡管這些事情對(duì)于了解企業(yè)的安全狀況很重要，但是它們并沒有給首席信息安全官以外的其他人帶來任何價(jià)值。”

雖然沒有一個(gè)可以適用于所有首席信息安全官的KPI，不過專家認(rèn)為，要想在企業(yè)中展示安全的業(yè)務(wù)價(jià)值，首席信息安全官在制定衡量標(biāo)準(zhǔn)時(shí)應(yīng)當(dāng)遵循以下幾個(gè)關(guān)鍵步驟。

對(duì)風(fēng)險(xiǎn)進(jìn)行測(cè)算

萬(wàn)事達(dá)卡負(fù)責(zé)信息安全工程的副總裁兼部門安全官Anne Marie Zettlemoyer指出，首先，每個(gè)首席信息安全官必須從業(yè)務(wù)角度了解自己的企業(yè)，包括營(yíng)收流、資產(chǎn)、戰(zhàn)略等，以及這些要素對(duì)風(fēng)險(xiǎn)的承受能力。

致力于IT治理的專業(yè)協(xié)會(huì)ISACA的安全專家Zettlemoyer說：“安全并不僅僅關(guān)系到自身。它們涉及到對(duì)業(yè)務(wù)風(fēng)險(xiǎn)的理解和圍繞風(fēng)險(xiǎn)制訂的防范措施?！?p>

知道哪些東西對(duì)于業(yè)務(wù)來說最重要的首席信息安全官可以建立符合業(yè)務(wù)需求的安全計(jì)劃，因而不太可能過分強(qiáng)調(diào)不太重要的領(lǐng)域的安全性，進(jìn)而導(dǎo)致在最關(guān)鍵領(lǐng)域中投資不足。Zettlemoyer補(bǔ)充稱：“首席信息安全官必須建立與風(fēng)險(xiǎn)相適應(yīng)的防御和能力?！?/p>

許多企業(yè)在這點(diǎn)上尚未成熟。《2018～2019年度安永全球信息安全調(diào)查》對(duì)包括信息安全和IT主管在內(nèi)的約1400位高級(jí)管理人員進(jìn)行了調(diào)查。調(diào)查發(fā)現(xiàn)55%的企業(yè)“沒有將保護(hù)企業(yè)安全作為其戰(zhàn)略和執(zhí)行計(jì)劃的組成部分”。該調(diào)查還發(fā)現(xiàn)，92%企業(yè)的網(wǎng)絡(luò)安全功能無(wú)法完全滿足其需求。

專家認(rèn)為，了解業(yè)務(wù)優(yōu)先級(jí)、戰(zhàn)略和風(fēng)險(xiǎn)承受能力的首席信息安全官可以更好地闡明特定的安全投資如何與這些業(yè)務(wù)目標(biāo)和風(fēng)險(xiǎn)閾值保持一致。這些首席信息安全官可以根據(jù)企業(yè)的風(fēng)險(xiǎn)承受能力來制訂安全性的價(jià)值主張。

González解釋說：“度量和指標(biāo)只有在能夠幫助人們理解安全性距離閾值有多遠(yuǎn)的情況下才有意義。”

對(duì)安全性在業(yè)務(wù)成功中的作用進(jìn)行量化

在將安全投資與企業(yè)風(fēng)險(xiǎn)承受能力有機(jī)結(jié)合方面，首席信息安全官不能撒手不管。

他們還需要了解企業(yè)的戰(zhàn)略計(jì)劃，考慮安全功能在哪些地方以什么方式實(shí)現(xiàn)業(yè)務(wù)目標(biāo)，然后確定并量化安全角色對(duì)這些計(jì)劃的整體成功所做出的貢獻(xiàn)。

Olyaei表示：“安全的價(jià)值在于如何促進(jìn)業(yè)務(wù)成果，如何幫助將業(yè)務(wù)產(chǎn)品從A點(diǎn)帶到B點(diǎn)?！迸c業(yè)務(wù)合作部門關(guān)系密切的首席信息安全官可以更好地詢問、學(xué)習(xí)和了解所有指定計(jì)劃的財(cái)務(wù)狀況，并梳理出安全性對(duì)項(xiàng)目成功的貢獻(xiàn)。

例如，為了將企業(yè)開發(fā)的數(shù)字產(chǎn)品推向市場(chǎng)，可以考慮安全性如何與業(yè)務(wù)和IT團(tuán)隊(duì)協(xié)作。正如Zettlemoyer指出的那樣：“大多數(shù)首席信息安全官都知道如果出現(xiàn)了問題，根據(jù)合同或監(jiān)管他們所承擔(dān)的責(zé)任會(huì)產(chǎn)生什么樣的成本?！?/p>

這些數(shù)字可以幫助強(qiáng)調(diào)安全在這些數(shù)字產(chǎn)品中的作用，就像業(yè)務(wù)和IT功能可以分享其贏得投資回報(bào)率的方式一樣。

González指出，因此要確定安全對(duì)特定項(xiàng)目和計(jì)劃成功所做出的貢獻(xiàn)，然后再繼續(xù)進(jìn)行評(píng)估。

González說：“可以說，對(duì)IT安全狀況的評(píng)估以及隨后的改進(jìn)和維護(hù)是特定業(yè)務(wù)計(jì)劃（例如合并）成功的關(guān)鍵，IT安全的貢獻(xiàn)可能占2%。從長(zhǎng)遠(yuǎn)看，潛在的業(yè)務(wù)收益的2%可以歸功于IT安全?！?h3>使用重要指標(biāo)

當(dāng)然，安全性不僅僅關(guān)系到賦能，它們的存在仍然是以保護(hù)和捍衛(wèi)企業(yè)為目的。

誰(shuí)也無(wú)法提供100%的安全保證。幾年前，安全領(lǐng)域內(nèi)的專業(yè)人士已經(jīng)意識(shí)到，他們不可能建造一座堅(jiān)不可摧的堡壘。實(shí)際上，大多數(shù)首席信息安全官也都認(rèn)為某些事件是不可避免的，只是時(shí)間早晚的問題。不過，企業(yè)的高管和董事可能并沒有收到過這種信息。

Olyaei說：“大多數(shù)首席信息安全官仍會(huì)向董事會(huì)承諾100%的安全，他們會(huì)說‘如果給我多少多少資金，我會(huì)解決這個(gè)問題。即使董事會(huì)告訴他們不會(huì)撥款，他們也會(huì)承諾做到完美。”

因此安全性必須要展示它們?cè)诓顒e更加細(xì)微的指標(biāo)下表現(xiàn)如何，這些指標(biāo)并不是簡(jiǎn)單（且完全地）衡量安全與不安全，而是用于指明企業(yè)會(huì)處于哪些極端情況以及這些措施是否正在隨著時(shí)間的推移而進(jìn)行改進(jìn)。

首席信息安全官可以使用許多指標(biāo)來制訂能夠展示安全投資價(jià)值的KPI。

清楚哪些是重點(diǎn)

對(duì)企業(yè)所有資產(chǎn)進(jìn)行分類處理的安全團(tuán)隊(duì)是否已經(jīng)確定了每種資產(chǎn)的風(fēng)險(xiǎn)承受能力并實(shí)施了相應(yīng)的防御級(jí)別？

商業(yè)網(wǎng)絡(luò)公司SOSA NYC的企業(yè)創(chuàng)新專員和網(wǎng)絡(luò)安全專家Omri Admon稱：“每家企業(yè)都應(yīng)該知道自己的重要資產(chǎn)，即核心技術(shù)是什么以及想要保護(hù)哪些東西。這樣他們就可以在最有價(jià)值的資產(chǎn)周圍建立一堵防護(hù)墻。有一些企業(yè)非常清楚，如果他們丟失了大量的電子郵件，那只是罰款的事;但是如果丟失的是社會(huì)安全號(hào)碼，那么性質(zhì)就完全變了?！?h4>對(duì)彈性進(jìn)行評(píng)估

發(fā)生攻擊時(shí)的響應(yīng)時(shí)間是多少？安全團(tuán)隊(duì)能夠以多快的速度交付響應(yīng)的關(guān)鍵要素，例如多長(zhǎng)時(shí)間才能關(guān)閉出口點(diǎn)以減少?gòu)钠髽I(yè)流出的數(shù)據(jù)？Admon指出，首席信息安全官可以美元為計(jì)算單位計(jì)算快速響應(yīng)以降低業(yè)務(wù)影響的價(jià)值。

Zettlemoyer稱，她采用的方法是使用研究數(shù)據(jù)和公開的數(shù)據(jù)來計(jì)算安全投資能夠?yàn)槠髽I(yè)帶來多大的財(cái)務(wù)收益。

她說：“我們?cè)谡務(wù)搹椥詥栴}時(shí)，可以通過測(cè)試、模擬和練習(xí)來展示它們的價(jià)值。這些測(cè)試可以證明企業(yè)應(yīng)對(duì)某件事的準(zhǔn)備程度以及恢復(fù)速度?！?h4>以其他企業(yè)為標(biāo)桿進(jìn)行評(píng)估

Zettlemoyer稱，通過其他企業(yè)因未做好充分準(zhǔn)備而面臨的后果和成本，她能夠很好地解釋自己的安全團(tuán)隊(duì)在事件中的反應(yīng)、預(yù)期的彈性水平以及因準(zhǔn)備充分而節(jié)省下來的資金。例如，由于2017年NotPetya襲擊，哥本哈根的航運(yùn)巨頭A.P. Moller-Maersk估計(jì)損失了200萬(wàn)至3億美元。Zettlemoyer在評(píng)估中就使用了這一事件。

此外，還可以以其他企業(yè)發(fā)生的數(shù)據(jù)泄露事件為基準(zhǔn)評(píng)估相同行業(yè)或類似規(guī)模的處置方式。

ISACA董事會(huì)副主席，F(xiàn)orfa Consulting AG合作伙伴首席執(zhí)行官兼Forfa Holding AG董事長(zhǎng)Rolf von Roessing說：“這些都是可用的硬數(shù)據(jù)。”首席信息安全官可以將其成功與否，投資的價(jià)值與違規(guī)的數(shù)量和成本，以及類似企業(yè)遭受的相關(guān)處罰或罰款金額進(jìn)行比較。

管理與IT咨詢公司Swingtide的高級(jí)顧問Bill Serowka稱，首席信息安全官可以使用數(shù)據(jù)（例如Ponemon的《年度數(shù)據(jù)泄露成本報(bào)告》）來量化安全功能的實(shí)際價(jià)值。據(jù)2019年的報(bào)告顯示，數(shù)據(jù)泄露的平均成本為392萬(wàn)美元，比五年前增長(zhǎng)了12%。

Serowka說，這些數(shù)字有助于業(yè)務(wù)主管、首席執(zhí)行官和董事充分認(rèn)識(shí)到安全投資所產(chǎn)生的價(jià)值。 因此做好安全準(zhǔn)備是值得的?！笆紫畔踩傩枰炕L(fēng)險(xiǎn)，并且需要以美元來衡量風(fēng)險(xiǎn)。同時(shí)他們還需要進(jìn)行相應(yīng)的報(bào)告。因?yàn)闃I(yè)務(wù)就是風(fēng)險(xiǎn)與回報(bào)的較量，高管們想了解他們是否應(yīng)該承擔(dān)這些風(fēng)險(xiǎn)，風(fēng)險(xiǎn)是否抵消了回報(bào)。”

原文網(wǎng)址

https：//www.csoonline.com/article/3438321/three-strategies-to-prove-securitys-value.html