證明安全價值的三種策略

Mary K. Pratt

安全主管Ricardo González并沒有將IT安全視為成本中心。相反，他將其描述為“一項可降低企業風險的戰略投資，能夠為實現業務價值做出積極貢獻?！?/p>

在這方面，整個公司的高層都沒有給予充分重視。不過，隨著首席信息安全官及其安全團隊開始逐漸成熟并成為了行政領導者，這一觀點才開始流行。

作為國際保險巨頭蘇黎世保險集團西班牙分公司的運營風險與控制主管和業務彈性經理的González說，越來越多的首席信息安全官開始認同他的觀點，并希望對安全價值進行量化。他說：“首席信息安全官們越來越關注如何衡量自己的貢獻了。”

這項工作非常重要并且是值得的，但是許多首席信息安全官們都是竭力從財務的角度出發闡明安全為企業提供了什么，以及帶來了多少價值。盡管專家表示，這么做也是有必要的。

González說：“對于銷售、生產、采購甚至對于IT來說，證明業務價值都比較容易。但是對于合規性、風險管理或信息安全等功能而言，證明它們的價值則更具挑戰性，重要的是實現它們的價值。這些領域的專業人員通常會誤以為這些是某種程度上的‘必要，是業務成本的一部分。這是一種誤解。你應盡可能地幫助高效地實現業務目標、達到頂線增長和守住榮枯線，并盡可能減少浪費。如果沒有人在衡量你的貢獻，那么我應該考慮如何做到更好。”

對于首席信息安全官而言，這是新領域，他們過去一直專注于評估戰術上的改進，例如實施的補丁數量或阻止的拒絕服務攻擊。這項工作特別具有挑戰性，因為眾所周知，安全投資的投資回報率是難以計算的。那么在沒有安全情況發生時應當如何進行衡量呢？

一些安全主管、研究人員和網絡安全顧問表示，有很多方法可以做到這一點。 他們一致認為，首席信息安全官現在需要量化考評和關鍵績效指標（KPI），以更好地展示安全功能為整個企業所帶來的業務價值。

市場研究機構Gartner Research負責風險與安全管理團隊的主管Sam Olyaei說：“傳統的安全儀表盤或記分卡主要是由處理的項目或漏洞、網絡釣魚點擊率和所修補的程序組成的。盡管這些事情對于了解企業的安全狀況很重要，但是它們并沒有給首席信息安全官以外的其他人帶來任何價值。”

雖然沒有一個可以適用于所有首席信息安全官的KPI，不過專家認為，要想在企業中展示安全的業務價值，首席信息安全官在制定衡量標準時應當遵循以下幾個關鍵步驟。

對風險進行測算

萬事達卡負責信息安全工程的副總裁兼部門安全官Anne Marie Zettlemoyer指出，首先，每個首席信息安全官必須從業務角度了解自己的企業，包括營收流、資產、戰略等，以及這些要素對風險的承受能力。

致力于IT治理的專業協會ISACA的安全專家Zettlemoyer說：“安全并不僅僅關系到自身。它們涉及到對業務風險的理解和圍繞風險制訂的防范措施?！?p>

知道哪些東西對于業務來說最重要的首席信息安全官可以建立符合業務需求的安全計劃，因而不太可能過分強調不太重要的領域的安全性，進而導致在最關鍵領域中投資不足。Zettlemoyer補充稱：“首席信息安全官必須建立與風險相適應的防御和能力?！?/p>

許多企業在這點上尚未成熟?！?018～2019年度安永全球信息安全調查》對包括信息安全和IT主管在內的約1400位高級管理人員進行了調查。調查發現55%的企業“沒有將保護企業安全作為其戰略和執行計劃的組成部分”。該調查還發現，92%企業的網絡安全功能無法完全滿足其需求。

專家認為，了解業務優先級、戰略和風險承受能力的首席信息安全官可以更好地闡明特定的安全投資如何與這些業務目標和風險閾值保持一致。這些首席信息安全官可以根據企業的風險承受能力來制訂安全性的價值主張。

González解釋說：“度量和指標只有在能夠幫助人們理解安全性距離閾值有多遠的情況下才有意義?！?h3>對安全性在業務成功中的作用進行量化

在將安全投資與企業風險承受能力有機結合方面，首席信息安全官不能撒手不管。

他們還需要了解企業的戰略計劃，考慮安全功能在哪些地方以什么方式實現業務目標，然后確定并量化安全角色對這些計劃的整體成功所做出的貢獻。

Olyaei表示：“安全的價值在于如何促進業務成果，如何幫助將業務產品從A點帶到B點?！迸c業務合作部門關系密切的首席信息安全官可以更好地詢問、學習和了解所有指定計劃的財務狀況，并梳理出安全性對項目成功的貢獻。

例如，為了將企業開發的數字產品推向市場，可以考慮安全性如何與業務和IT團隊協作。正如Zettlemoyer指出的那樣：“大多數首席信息安全官都知道如果出現了問題，根據合同或監管他們所承擔的責任會產生什么樣的成本?！?/p>

這些數字可以幫助強調安全在這些數字產品中的作用，就像業務和IT功能可以分享其贏得投資回報率的方式一樣。

González指出，因此要確定安全對特定項目和計劃成功所做出的貢獻，然后再繼續進行評估。

González說：“可以說，對IT安全狀況的評估以及隨后的改進和維護是特定業務計劃（例如合并）成功的關鍵，IT安全的貢獻可能占2%。從長遠看，潛在的業務收益的2%可以歸功于IT安全?！?h3>使用重要指標

當然，安全性不僅僅關系到賦能，它們的存在仍然是以保護和捍衛企業為目的。

誰也無法提供100%的安全保證。幾年前，安全領域內的專業人士已經意識到，他們不可能建造一座堅不可摧的堡壘。實際上，大多數首席信息安全官也都認為某些事件是不可避免的，只是時間早晚的問題。不過，企業的高管和董事可能并沒有收到過這種信息。

Olyaei說：“大多數首席信息安全官仍會向董事會承諾100%的安全，他們會說‘如果給我多少多少資金，我會解決這個問題。即使董事會告訴他們不會撥款，他們也會承諾做到完美。”

因此安全性必須要展示它們在差別更加細微的指標下表現如何，這些指標并不是簡單（且完全地）衡量安全與不安全，而是用于指明企業會處于哪些極端情況以及這些措施是否正在隨著時間的推移而進行改進。

首席信息安全官可以使用許多指標來制訂能夠展示安全投資價值的KPI。

清楚哪些是重點

對企業所有資產進行分類處理的安全團隊是否已經確定了每種資產的風險承受能力并實施了相應的防御級別？

商業網絡公司SOSA NYC的企業創新專員和網絡安全專家Omri Admon稱：“每家企業都應該知道自己的重要資產，即核心技術是什么以及想要保護哪些東西。這樣他們就可以在最有價值的資產周圍建立一堵防護墻。有一些企業非常清楚，如果他們丟失了大量的電子郵件，那只是罰款的事;但是如果丟失的是社會安全號碼，那么性質就完全變了?！?h4>對彈性進行評估

發生攻擊時的響應時間是多少？安全團隊能夠以多快的速度交付響應的關鍵要素，例如多長時間才能關閉出口點以減少從企業流出的數據？Admon指出，首席信息安全官可以美元為計算單位計算快速響應以降低業務影響的價值。

Zettlemoyer稱，她采用的方法是使用研究數據和公開的數據來計算安全投資能夠為企業帶來多大的財務收益。

她說：“我們在談論彈性問題時，可以通過測試、模擬和練習來展示它們的價值。這些測試可以證明企業應對某件事的準備程度以及恢復速度?！?h4>以其他企業為標桿進行評估

Zettlemoyer稱，通過其他企業因未做好充分準備而面臨的后果和成本，她能夠很好地解釋自己的安全團隊在事件中的反應、預期的彈性水平以及因準備充分而節省下來的資金。例如，由于2017年NotPetya襲擊，哥本哈根的航運巨頭A.P. Moller-Maersk估計損失了200萬至3億美元。Zettlemoyer在評估中就使用了這一事件。

此外，還可以以其他企業發生的數據泄露事件為基準評估相同行業或類似規模的處置方式。

ISACA董事會副主席，Forfa Consulting AG合作伙伴首席執行官兼Forfa Holding AG董事長Rolf von Roessing說：“這些都是可用的硬數據?！笔紫畔踩倏梢詫⑵涑晒εc否，投資的價值與違規的數量和成本，以及類似企業遭受的相關處罰或罰款金額進行比較。

管理與IT咨詢公司Swingtide的高級顧問Bill Serowka稱，首席信息安全官可以使用數據（例如Ponemon的《年度數據泄露成本報告》）來量化安全功能的實際價值。據2019年的報告顯示，數據泄露的平均成本為392萬美元，比五年前增長了12%。

Serowka說，這些數字有助于業務主管、首席執行官和董事充分認識到安全投資所產生的價值。 因此做好安全準備是值得的?！笆紫畔踩傩枰炕L險，并且需要以美元來衡量風險。同時他們還需要進行相應的報告。因為業務就是風險與回報的較量，高管們想了解他們是否應該承擔這些風險，風險是否抵消了回報?！?/p>

原文網址

https：//www.csoonline.com/article/3438321/three-strategies-to-prove-securitys-value.html