企業(yè)的安全部門(mén)向來(lái)不是一個(gè)能掙錢(qián)的部門(mén),高管層很容易就將安全投資看做一項(xiàng)必不可少卻又心不甘、情不愿的成本負(fù)擔(dān)。在這種情況下,安全負(fù)責(zé)人該如何向高管層匯報(bào)安全活動(dòng)的商業(yè)價(jià)值?
通常,安全負(fù)責(zé)人在試圖說(shuō)服高管層時(shí),會(huì)圍繞著一些負(fù)面話(huà)題(例如,近期的新聞報(bào)道有多么駭人聽(tīng)聞、風(fēng)險(xiǎn)威脅有多么可怕,或者是如果不進(jìn)行安全建設(shè),將會(huì)面臨重大災(zāi)難)來(lái)進(jìn)行,但這對(duì)于獲得高管層的支持沒(méi)有實(shí)質(zhì)幫助。從本質(zhì)上講,他們更關(guān)注的是業(yè)務(wù)成果而不是規(guī)避風(fēng)險(xiǎn)。因此,講這些負(fù)面信息通常解決不了管理人員內(nèi)心“糾結(jié)點(diǎn)”。
安全建設(shè)與商業(yè)價(jià)值掛鉤有什么困難?
雖然高管們對(duì)安全風(fēng)險(xiǎn)的了解越來(lái)越多,但是安全負(fù)責(zé)人依然很難找到一個(gè)清晰明確、站得住腳的業(yè)務(wù)案例,來(lái)說(shuō)明進(jìn)行安全投資是值得的。要向高管層證明安全建設(shè)能夠?qū)崿F(xiàn)的效益,安全負(fù)責(zé)人需要用業(yè)務(wù)價(jià)值來(lái)展現(xiàn),但問(wèn)題在于:
安全投資很少會(huì)直接促成收入增長(zhǎng)或成本節(jié)約。
大多數(shù)企業(yè)領(lǐng)導(dǎo)者仍將安全建設(shè)成本視為一種雖然必不可少、但又痛心疾首的成本負(fù)擔(dān),而不是一種商業(yè)投資。他們對(duì)安全投資的態(tài)度通常是:花費(fèi)的時(shí)間和資金越少越好。
要獲得高管層的有效支持,就需要闡明信息安全的預(yù)期業(yè)務(wù)收益,這真的很難定義,也很難表達(dá)。
總得來(lái)說(shuō),企業(yè)安全負(fù)責(zé)人在如何制定有效的溝通策略,才能與企業(yè)高管層產(chǎn)生共鳴是當(dāng)前所有安全負(fù)責(zé)人最頭疼的事之一。筆者在之前文章也有所說(shuō)明,詳情可以參考(《避坑指南:安全負(fù)責(zé)人如何有效向高管層匯報(bào)》)。
安全建設(shè)與商業(yè)價(jià)值掛鉤的4大策略
策略1:將安全建設(shè)與公司目標(biāo)聯(lián)系起來(lái)
在向高管們匯報(bào),期待獲得他們的支持時(shí),安全負(fù)責(zé)人通常會(huì)采用兩種方式:一種方式是通過(guò)各種數(shù)據(jù)來(lái)說(shuō)明企業(yè)未來(lái)的安全狀況堪憂(yōu)。但正如上文所說(shuō),高管層更多地是關(guān)注實(shí)現(xiàn)商業(yè)利益,而不是規(guī)避風(fēng)險(xiǎn)。另一種方式是用安全投資回報(bào)率來(lái)介紹安全建設(shè)計(jì)劃,但效果也并不理想,因?yàn)閷?duì)安全建設(shè)投資一塊錢(qián),未來(lái)也不一定能夠返還一塊錢(qián)。
最好的方法就是證明安全建設(shè)的業(yè)務(wù)價(jià)值。直接將安全建設(shè)與公司目標(biāo)關(guān)聯(lián)起來(lái),然后向高管層報(bào)告安全建設(shè)的進(jìn)展情況可以實(shí)現(xiàn)這一點(diǎn)。安全負(fù)責(zé)人首先應(yīng)該弄清楚公司要實(shí)現(xiàn)的既定目標(biāo),并在與高管層進(jìn)行溝通時(shí)提到這些信息,說(shuō)明安全建設(shè)是如何有助于實(shí)現(xiàn)這些目標(biāo)的。安全負(fù)責(zé)人在介紹安全建設(shè)時(shí)措辭要準(zhǔn)確,明確將安全建設(shè)與特定業(yè)務(wù)計(jì)劃關(guān)聯(lián)起來(lái)。所關(guān)聯(lián)的業(yè)務(wù)計(jì)劃重要性越高,就越能向高管層展示安全建設(shè)計(jì)劃的重要性。
例如,某家大型電力公司的安全負(fù)責(zé)人根據(jù)公司方案和發(fā)展方向說(shuō)明,直接將安全計(jì)劃與業(yè)務(wù)發(fā)展目標(biāo)聯(lián)系起來(lái)。該電力公司的高管層已經(jīng)制定了一項(xiàng)五年戰(zhàn)略計(jì)劃,其中包含一些業(yè)務(wù)指南。CIO根據(jù)這些文件來(lái)制定了IT戰(zhàn)略計(jì)劃,并從IT角度出發(fā),呼應(yīng)了許多重要的業(yè)務(wù)主題。然后,安全負(fù)責(zé)人根據(jù)這些主題和發(fā)展計(jì)劃制定了安全團(tuán)隊(duì)的章程、五年戰(zhàn)略計(jì)劃和預(yù)算要求。接下來(lái),安全負(fù)責(zé)人使用高管簽字后的安全章程推動(dòng)安全計(jì)劃的執(zhí)行。最后,安全計(jì)劃的預(yù)算和人員都得到了增加,而且還有助于通過(guò)重大內(nèi)部舉措來(lái)提高風(fēng)險(xiǎn)與安全計(jì)劃成熟度。
策略2:將安全風(fēng)險(xiǎn)指標(biāo)與業(yè)務(wù)績(jī)效指標(biāo)關(guān)聯(lián)起來(lái)
雖然對(duì)安全風(fēng)險(xiǎn)的管理不當(dāng)會(huì)導(dǎo)致業(yè)務(wù)失敗和業(yè)績(jī)不佳。但是,大多數(shù)組織機(jī)構(gòu)都沒(méi)有辦法對(duì)這種關(guān)系進(jìn)行衡量。結(jié)果就是,業(yè)務(wù)人員并不清楚安全建設(shè)活動(dòng)的效益在哪兒,在制定關(guān)鍵業(yè)務(wù)決策時(shí),也就不會(huì)充分考慮安全風(fēng)險(xiǎn)。
要解決這個(gè)問(wèn)題,一方面,企業(yè)應(yīng)制定可靠的、獨(dú)立的關(guān)鍵績(jī)效指標(biāo)(KPI);另一方面,安全部門(mén)則應(yīng)制定可直接影響業(yè)務(wù)績(jī)效的關(guān)鍵風(fēng)險(xiǎn)指標(biāo)(KRI)。這就需要深入了解安全風(fēng)險(xiǎn)是如何影響業(yè)務(wù)績(jī)效的,可以說(shuō)KRI是衡量業(yè)務(wù)績(jī)效風(fēng)險(xiǎn)的先行指標(biāo)。
舉例而言,某物流企業(yè)的關(guān)鍵系統(tǒng)上托管著供應(yīng)鏈應(yīng)用程序。該公司制定了相關(guān)的KRI,可以衡量這些關(guān)鍵系統(tǒng)的關(guān)鍵員工流失率和補(bǔ)丁狀況。在針對(duì)某些特定漏洞,補(bǔ)丁效果不佳的時(shí)候,就會(huì)影響關(guān)鍵系統(tǒng)上的應(yīng)用程序,從而導(dǎo)致整個(gè)供應(yīng)鏈速度放緩。由于整個(gè)供應(yīng)鏈出現(xiàn)問(wèn)題,則可能會(huì)導(dǎo)致無(wú)法完成季度指標(biāo),造成收入損失。通過(guò)這樣的一個(gè)關(guān)系映射,就可以明確地向高管層證明,企業(yè)為什么需要關(guān)注KRI,并幫助他們根據(jù)這些KRI做出更明智的業(yè)務(wù)決策。
先行指標(biāo)示例
策略3:與高管溝通時(shí)不要使用運(yùn)營(yíng)指標(biāo)
在與客戶(hù)的接觸中,我們了解到,很多安全負(fù)責(zé)人還在苦苦探索如何制定安全衡量指標(biāo),以期在向高管層進(jìn)行匯報(bào)時(shí),能夠引起他們的共鳴。但實(shí)際上,雖然運(yùn)營(yíng)指標(biāo)可以很好地推動(dòng)安全計(jì)劃的運(yùn)行,但不會(huì)引起高管層的共鳴。運(yùn)營(yíng)指標(biāo)應(yīng)該在和同級(jí)和下屬在一起時(shí),才適合適用。對(duì)于關(guān)注業(yè)務(wù)的高管層來(lái)說(shuō),向他們匯報(bào)運(yùn)營(yíng)指標(biāo),需要他們理解這些詳細(xì)信息,但他們卻又不懂這些指標(biāo)如何應(yīng)用,這不僅是在浪費(fèi)他們的時(shí)間,也是在安全負(fù)責(zé)人自己的時(shí)間。當(dāng)然,在高管層提出要求時(shí),安全負(fù)責(zé)人也應(yīng)該介紹一下詳細(xì)信息,但要避免試圖向業(yè)務(wù)主管人員講解詳細(xì)的運(yùn)營(yíng)指標(biāo)。
但安全負(fù)責(zé)人總是要通過(guò)一定的指標(biāo)來(lái)匯報(bào)安全狀況。在制定并匯報(bào)安全指標(biāo)時(shí),要確保安全指標(biāo)符合業(yè)務(wù)目標(biāo)。通常,良好的安全指標(biāo)應(yīng)具有以下特征:
符合業(yè)務(wù)目標(biāo):要實(shí)現(xiàn)這一點(diǎn),最好的方法是匯總要匯報(bào)的指標(biāo),并確保演講人清楚地了解要報(bào)告的數(shù)據(jù)是如何支持企業(yè)的業(yè)務(wù)目標(biāo)的。比如,在服務(wù)級(jí)別協(xié)議(SLA)中授予的用戶(hù)訪(fǎng)問(wèn)請(qǐng)求的百分比,以此來(lái)證明生產(chǎn)力。
可控性:安全指標(biāo)可以衡量能夠通過(guò)流程或工具控制的因素。若報(bào)告的要點(diǎn)內(nèi)容超出安全部門(mén)的控制范圍,可能會(huì)適得其反,并且不利于做出決策或風(fēng)險(xiǎn)管理。安全經(jīng)理經(jīng)常直接報(bào)告通過(guò)工具統(tǒng)計(jì)出來(lái)的數(shù)字,而沒(méi)有介紹任何相應(yīng)的上下文。例如,IPS警報(bào)的較大波動(dòng)可能是因?yàn)樵摴ぞ哌M(jìn)行了“優(yōu)化調(diào)整”,或者可能只是反映了已在Internet上發(fā)布的新漏洞。
數(shù)據(jù)質(zhì)量客觀、可量化:為了確保安全指標(biāo)有助于高管層做出業(yè)務(wù)決策,指標(biāo)所代表的信息質(zhì)量必須具有較高的水平,包括精度、準(zhǔn)確性、可靠性、相關(guān)性和客觀性等方面。比如,25%的關(guān)鍵業(yè)務(wù)系統(tǒng)正在運(yùn)行不常用的IPS簽名集。
開(kāi)銷(xiāo)低:雖然安全指標(biāo)要體現(xiàn)商業(yè)價(jià)值,但也必須要易于收集和分析。收益遞減規(guī)律適用于每個(gè)項(xiàng)目,這里也同樣適用:如果指標(biāo)花費(fèi)了太多時(shí)間和精力,那么它們的價(jià)值就會(huì)下降。
趨勢(shì)性:對(duì)于所收集的指標(biāo)數(shù)據(jù),通常還需要進(jìn)一步的操作,才能通過(guò)收集的信息來(lái)展示未來(lái)的發(fā)展趨勢(shì)。趨勢(shì)性往往是一個(gè)展示和方法的問(wèn)題,而不是憑空出現(xiàn)的一個(gè)特征。在趨勢(shì)發(fā)展變化范圍內(nèi)也要考慮到變化性。例如,流程的成熟度不會(huì)快速變化,因此每周或每月都進(jìn)行報(bào)告沒(méi)有太大意義。
策略4:評(píng)估安全流程成熟度
隨著高管層對(duì)網(wǎng)絡(luò)安全的了解日益增強(qiáng),對(duì)安全負(fù)責(zé)人的匯報(bào)要求也就相應(yīng)地提高了。在面臨安全風(fēng)險(xiǎn)的任何領(lǐng)域,高管層都想知道:我們面臨著哪些風(fēng)險(xiǎn)?我們的安全狀況如何?我們對(duì)存在的安全風(fēng)險(xiǎn)該怎么辦?安全運(yùn)營(yíng)指標(biāo)很少能引起以業(yè)務(wù)為導(dǎo)向的高管層的共鳴。但對(duì)于許多組織機(jī)構(gòu)來(lái)說(shuō),自己的安全流程成熟度則更好理解,而且流程成熟度也能更有效展現(xiàn)公司的風(fēng)險(xiǎn)狀況。
對(duì)安全流程成熟度的分析結(jié)果可以用于高管層在制定戰(zhàn)略計(jì)劃和戰(zhàn)術(shù)計(jì)劃時(shí),確定戰(zhàn)略和戰(zhàn)術(shù)計(jì)劃中的項(xiàng)目?jī)?yōu)先級(jí)。
那么,如何通過(guò)安全流程成熟度來(lái)衡量公司的風(fēng)險(xiǎn)狀況呢?這主要包括以下六個(gè)步驟。我們以一個(gè)具體的環(huán)境為例來(lái)介紹一個(gè)安全流程——事件響應(yīng)。
制定流程目錄:首先將事件響應(yīng)作為一個(gè)正式的安全流程確定下來(lái),制定一個(gè)文檔,包括流程介紹、流程圖、技能要求和人員配備要求等等。
評(píng)估流程成熟度:在公司規(guī)模小的時(shí)候,安全流程可能比較混亂,比如缺少問(wèn)責(zé)制、安全指標(biāo)記錄不連續(xù)等等。這說(shuō)明成熟度比較低,即便之前正式規(guī)定了下來(lái),也不應(yīng)該再使用。
根據(jù)流程成熟度制定風(fēng)險(xiǎn)報(bào)告:為了評(píng)估效果不佳的響應(yīng)流程會(huì)有什么風(fēng)險(xiǎn),可以成立一個(gè)小組,包括來(lái)自IT、安全和業(yè)務(wù)部門(mén)的代表。他們可以通過(guò)描述可能發(fā)生的事件以及影響大但不太可能發(fā)生的事件兩種場(chǎng)景來(lái)模擬響應(yīng)流程的重要性。重點(diǎn)是要關(guān)注當(dāng)前的控制措施和預(yù)期的控制措施之間有何差距。
將差距分解為項(xiàng)目:對(duì)于風(fēng)險(xiǎn)報(bào)告中顯示存在差距的地方,要制定一系列項(xiàng)目來(lái)逐漸完善。
制定戰(zhàn)略計(jì)劃:在根據(jù)流程的成熟度和企業(yè)的風(fēng)險(xiǎn)狀況了解了每個(gè)項(xiàng)目的影響后,便可以根據(jù)預(yù)算、進(jìn)度和影響成都來(lái)確定項(xiàng)目的優(yōu)先級(jí)。例如,有些合規(guī)性項(xiàng)目需要立即執(zhí)行,有些項(xiàng)目可以暫緩一段時(shí)間執(zhí)行。
定期向高管層匯報(bào)進(jìn)度:要讓高管層對(duì)安全建設(shè)保持興趣,關(guān)鍵是要通過(guò)定期匯報(bào),介紹在最近一段時(shí)間內(nèi)取得了哪些成果,讓高管人員參與進(jìn)來(lái)。
將安全流程存在的差距分解為項(xiàng)目
寫(xiě)在最后
安全建設(shè)作為一項(xiàng)必不可少但又不掙錢(qián)的項(xiàng)目,安全負(fù)責(zé)人在向高管匯報(bào)時(shí),就需要體現(xiàn)安全建設(shè)計(jì)劃的商業(yè)價(jià)值。既然安全運(yùn)營(yíng)指標(biāo)無(wú)法有效引起安全負(fù)責(zé)人的共鳴,那么該用哪些安全指標(biāo)進(jìn)行匯報(bào)呢?安全流程該如何制定,其成熟度又該如何衡量呢?更多信息,敬請(qǐng)聯(lián)系青藤,我們將為您提供更加專(zhuān)業(yè)的指導(dǎo)服務(wù)!
