信息化觀察網(wǎng)

安全主管Ricardo González并沒有將IT安全視為成本中心。相反，他將其描述為“一項可降低企業(yè)風(fēng)險的戰(zhàn)略投資，能夠為實現(xiàn)業(yè)務(wù)價值做出積極貢獻。”

在這方面，整個公司的高層都沒有給予充分重視。不過，隨著首席信息安全官及其安全團隊開始逐漸成熟并成為了行政領(lǐng)導(dǎo)者，這一觀點才開始流行。

作為國際保險巨頭蘇黎世保險集團西班牙分公司的運營風(fēng)險與控制主管和業(yè)務(wù)彈性經(jīng)理的González說，越來越多的首席信息安全官開始認同他的觀點，并希望對安全價值進行量化。他說：“首席信息安全官們越來越關(guān)注如何衡量自己的貢獻了。”

這項工作非常重要并且是值得的，但是許多首席信息安全官們都是竭力從財務(wù)的角度出發(fā)闡明安全為企業(yè)提供了什么，以及帶來了多少價值。盡管專家表示，這么做也是有必要的。

González說：“對于銷售、生產(chǎn)、采購甚至對于IT來說，證明業(yè)務(wù)價值都比較容易。但是對于合規(guī)性、風(fēng)險管理或信息安全等功能而言，證明它們的價值則更具挑戰(zhàn)性，重要的是實現(xiàn)它們的價值。這些領(lǐng)域的專業(yè)人員通常會誤以為這些是某種程度上的‘必要’，是業(yè)務(wù)成本的一部分。這是一種誤解。你應(yīng)盡可能地幫助高效地實現(xiàn)業(yè)務(wù)目標、達到頂線增長和守住榮枯線，并盡可能減少浪費。如果沒有人在衡量你的貢獻，那么我應(yīng)該考慮如何做到更好。”

對于首席信息安全官而言，這是新領(lǐng)域，他們過去一直專注于評估戰(zhàn)術(shù)上的改進，例如實施的補丁數(shù)量或阻止的拒絕服務(wù)攻擊。這項工作特別具有挑戰(zhàn)性，因為眾所周知，安全投資的投資回報率是難以計算的。那么在沒有安全情況發(fā)生時應(yīng)當如何進行衡量呢？

一些安全主管、研究人員和網(wǎng)絡(luò)安全顧問表示，有很多方法可以做到這一點。 他們一致認為，首席信息安全官現(xiàn)在需要量化考評和關(guān)鍵績效指標（KPI），以更好地展示安全功能為整個企業(yè)所帶來的業(yè)務(wù)價值。

市場研究機構(gòu)Gartner Research負責(zé)風(fēng)險與安全管理團隊的主管Sam Olyaei說：“傳統(tǒng)的安全儀表盤或記分卡主要是由處理的項目或漏洞、網(wǎng)絡(luò)釣魚點擊率和所修補的程序組成的。盡管這些事情對于了解企業(yè)的安全狀況很重要，但是它們并沒有給首席信息安全官以外的其他人帶來任何價值。”

雖然沒有一個可以適用于所有首席信息安全官的KPI，不過專家認為，要想在企業(yè)中展示安全的業(yè)務(wù)價值，首席信息安全官在制定衡量標準時應(yīng)當遵循以下幾個關(guān)鍵步驟。

對風(fēng)險進行測算

萬事達卡負責(zé)信息安全工程的副總裁兼部門安全官Anne Marie Zettlemoyer指出，首先，每個首席信息安全官必須從業(yè)務(wù)角度了解自己的企業(yè)，包括營收流、資產(chǎn)、戰(zhàn)略等，以及這些要素對風(fēng)險的承受能力。

致力于IT治理的專業(yè)協(xié)會ISACA的安全專家Zettlemoyer說：“安全并不僅僅關(guān)系到自身。它們涉及到對業(yè)務(wù)風(fēng)險的理解和圍繞風(fēng)險制訂的防范措施。”

知道哪些東西對于業(yè)務(wù)來說最重要的首席信息安全官可以建立符合業(yè)務(wù)需求的安全計劃，因而不太可能過分強調(diào)不太重要的領(lǐng)域的安全性，進而導(dǎo)致在最關(guān)鍵領(lǐng)域中投資不足。Zettlemoyer補充稱：“首席信息安全官必須建立與風(fēng)險相適應(yīng)的防御和能力。”

許多企業(yè)在這點上尚未成熟?！?018~2019年度安永全球信息安全調(diào)查》對包括信息安全和IT主管在內(nèi)的約1400位高級管理人員進行了調(diào)查。調(diào)查發(fā)現(xiàn)55％的企業(yè)“沒有將保護企業(yè)安全作為其戰(zhàn)略和執(zhí)行計劃的組成部分”。該調(diào)查還發(fā)現(xiàn)，92％企業(yè)的網(wǎng)絡(luò)安全功能無法完全滿足其需求。

專家認為，了解業(yè)務(wù)優(yōu)先級、戰(zhàn)略和風(fēng)險承受能力的首席信息安全官可以更好地闡明特定的安全投資如何與這些業(yè)務(wù)目標和風(fēng)險閾值保持一致。這些首席信息安全官可以根據(jù)企業(yè)的風(fēng)險承受能力來制訂安全性的價值主張。

González解釋說：“度量和指標只有在能夠幫助人們理解安全性距離閾值有多遠的情況下才有意義。”

對安全性在業(yè)務(wù)成功中的作用進行量化

在將安全投資與企業(yè)風(fēng)險承受能力有機結(jié)合方面，首席信息安全官不能撒手不管。

他們還需要了解企業(yè)的戰(zhàn)略計劃，考慮安全功能在哪些地方以什么方式實現(xiàn)業(yè)務(wù)目標，然后確定并量化安全角色對這些計劃的整體成功所做出的貢獻。

Olyaei表示：“安全的價值在于如何促進業(yè)務(wù)成果，如何幫助將業(yè)務(wù)產(chǎn)品從A點帶到B點。”與業(yè)務(wù)合作部門關(guān)系密切的首席信息安全官可以更好地詢問、學(xué)習(xí)和了解所有指定計劃的財務(wù)狀況，并梳理出安全性對項目成功的貢獻。

例如，為了將企業(yè)開發(fā)的數(shù)字產(chǎn)品推向市場，可以考慮安全性如何與業(yè)務(wù)和IT團隊協(xié)作。正如Zettlemoyer指出的那樣：“大多數(shù)首席信息安全官都知道如果出現(xiàn)了問題，根據(jù)合同或監(jiān)管他們所承擔(dān)的責(zé)任會產(chǎn)生什么樣的成本。”

這些數(shù)字可以幫助強調(diào)安全在這些數(shù)字產(chǎn)品中的作用，就像業(yè)務(wù)和IT功能可以分享其贏得投資回報率的方式一樣。

González指出，因此要確定安全對特定項目和計劃成功所做出的貢獻，然后再繼續(xù)進行評估。

González說：“可以說，對IT安全狀況的評估以及隨后的改進和維護是特定業(yè)務(wù)計劃（例如合并）成功的關(guān)鍵，IT安全的貢獻可能占2%。從長遠看，潛在的業(yè)務(wù)收益的2%可以歸功于IT安全。”

使用重要指標

當然，安全性不僅僅關(guān)系到賦能，它們的存在仍然是以保護和捍衛(wèi)企業(yè)為目的。

誰也無法提供100%的安全保證。幾年前，安全領(lǐng)域內(nèi)的專業(yè)人士已經(jīng)意識到，他們不可能建造一座堅不可摧的堡壘。實際上，大多數(shù)首席信息安全官也都認為某些事件是不可避免的，只是時間早晚的問題。不過，企業(yè)的高管和董事可能并沒有收到過這種信息。

Olyaei說：“大多數(shù)首席信息安全官仍會向董事會承諾100%的安全，他們會說‘如果給我多少多少資金，我會解決這個問題’。即使董事會告訴他們不會撥款，他們也會承諾做到完美。”

因此安全性必須要展示它們在差別更加細微的指標下表現(xiàn)如何，這些指標并不是簡單（且完全地）衡量安全與不安全，而是用于指明企業(yè)會處于哪些極端情況以及這些措施是否正在隨著時間的推移而進行改進。

首席信息安全官可以使用許多指標來制訂能夠展示安全投資價值的KPI。

清楚哪些是重點

對企業(yè)所有資產(chǎn)進行分類處理的安全團隊是否已經(jīng)確定了每種資產(chǎn)的風(fēng)險承受能力并實施了相應(yīng)的防御級別？

商業(yè)網(wǎng)絡(luò)公司SOSA NYC的企業(yè)創(chuàng)新專員和網(wǎng)絡(luò)安全專家Omri Admon稱：“每家企業(yè)都應(yīng)該知道自己的重要資產(chǎn)，即核心技術(shù)是什么以及想要保護哪些東西。這樣他們就可以在最有價值的資產(chǎn)周圍建立一堵防護墻。有一些企業(yè)非常清楚，如果他們丟失了大量的電子郵件，那只是罰款的事；但是如果丟失的是社會安全號碼，那么性質(zhì)就完全變了。”

對彈性進行評估

發(fā)生攻擊時的響應(yīng)時間是多少？安全團隊能夠以多快的速度交付響應(yīng)的關(guān)鍵要素，例如多長時間才能關(guān)閉出口點以減少從企業(yè)流出的數(shù)據(jù)？Admon指出，首席信息安全官可以美元為計算單位計算快速響應(yīng)以降低業(yè)務(wù)影響的價值。

Zettlemoyer稱，她采用的方法是使用研究數(shù)據(jù)和公開的數(shù)據(jù)來計算安全投資能夠為企業(yè)帶來多大的財務(wù)收益。

她說：“我們在談?wù)搹椥詥栴}時，可以通過測試、模擬和練習(xí)來展示它們的價值。這些測試可以證明企業(yè)應(yīng)對某件事的準備程度以及恢復(fù)速度。”

以其他企業(yè)為標桿進行評估

Zettlemoyer稱，通過其他企業(yè)因未做好充分準備而面臨的后果和成本，她能夠很好地解釋自己的安全團隊在事件中的反應(yīng)、預(yù)期的彈性水平以及因準備充分而節(jié)省下來的資金。例如，由于2017年NotPetya襲擊，哥本哈根的航運巨頭A.P. Moller-Maersk估計損失了200萬至3億美元。Zettlemoyer在評估中就使用了這一事件。

此外，還可以以其他企業(yè)發(fā)生的數(shù)據(jù)泄露事件為基準評估相同行業(yè)或類似規(guī)模的處置方式。

ISACA董事會副主席，F(xiàn)orfa Consulting AG合作伙伴首席執(zhí)行官兼Forfa Holding AG董事長Rolf von Roessing說：“這些都是可用的硬數(shù)據(jù)。”首席信息安全官可以將其成功與否，投資的價值與違規(guī)的數(shù)量和成本，以及類似企業(yè)遭受的相關(guān)處罰或罰款金額進行比較。

管理與IT咨詢公司Swingtide的高級顧問Bill Serowka稱，首席信息安全官可以使用數(shù)據(jù)（例如Ponemon的《年度數(shù)據(jù)泄露成本報告》）來量化安全功能的實際價值。據(jù)2019年的報告顯示，數(shù)據(jù)泄露的平均成本為392萬美元，比五年前增長了12％。

Serowka說，這些數(shù)字有助于業(yè)務(wù)主管、首席執(zhí)行官和董事充分認識到安全投資所產(chǎn)生的價值。 因此做好安全準備是值得的。“首席信息安全官需要量化風(fēng)險，并且需要以美元來衡量風(fēng)險。同時他們還需要進行相應(yīng)的報告。因為業(yè)務(wù)就是風(fēng)險與回報的較量，高管們想了解他們是否應(yīng)該承擔(dān)這些風(fēng)險，風(fēng)險是否抵消了回報。”

作者：Mary K. Pratt為自由撰稿人，現(xiàn)居馬薩諸塞州。

編譯：陳琳華

原文網(wǎng)址：https://www.csoonline.com/article/3438321/three-strategies-to-prove-securitys-value.html