CISO如何證明安全的業(yè)務(wù)價(jià)值
責(zé)編:gltian |2019-02-20 13:17:19CISO必須以切實(shí)的金額清晰呈現(xiàn)其業(yè)務(wù)價(jià)值。
如果你是CISO或者其他層級的信息安全官,下面的工作描述聽起來可能你會(huì)認(rèn)同:
我的工作是管理信息安全以保證企業(yè)安全。
而你的成功指標(biāo),也就是你用以讓公司其他人明白你價(jià)值的東西,可能與維護(hù)和改善技術(shù)層面的安全有關(guān),比如修復(fù)的漏洞或達(dá)成的 NIST CSF 成熟度等級。
然而,以上說法僅對了一部分。事實(shí)上,與公司里其他人的工作一樣,信息安全官的工作不僅僅在于防護(hù)公司,而在于讓公司在可接受的風(fēng)險(xiǎn)水平上高效賺錢。
為取得職業(yè)上的真正成功,CISO必須以具體金錢數(shù)額的形式向公司證明自己的價(jià)值。也就是說,CISO要將自己的標(biāo)簽從“最小化威脅和漏洞”,轉(zhuǎn)變到包含進(jìn)“提供業(yè)務(wù)支持選項(xiàng)”上,即:安全投資水平和相應(yīng)風(fēng)險(xiǎn)之間的權(quán)衡要清晰地表達(dá)出來,以便做出明智的商業(yè)決策。
CISO需關(guān)注公司的戰(zhàn)略目標(biāo),重視支持首要業(yè)務(wù)職能的人員、技術(shù)及過程,要將技術(shù)層面上的安全納入整體考慮。以風(fēng)險(xiǎn)等級為例。大多數(shù)風(fēng)險(xiǎn)登記是以分類賬的形式執(zhí)行的,在一個(gè)地方記錄控制缺陷、審計(jì)發(fā)現(xiàn)和策略例外,或者僅僅簡單分類可能留有隱患的一些事務(wù),比如“遷移到云端”。
這些條目可能就靠分析師的直覺分類為高-中-低級風(fēng)險(xiǎn)(很有可能就是中級),或者干脆不加區(qū)分地混在一堆。無論如何,都沒將這些“風(fēng)險(xiǎn)”與潛在經(jīng)濟(jì)損失之類公司關(guān)心的東西聯(lián)系起來。
人力資源與薪資服務(wù)公司ADP在這方面做得更好些,該公司是當(dāng)今最佳網(wǎng)絡(luò)風(fēng)險(xiǎn)經(jīng)理人之一,擁有2套風(fēng)險(xiǎn)注冊管理規(guī)則。其首席安全顧問 Marta Palanques 在2017年的FAIR大會(huì)上這么說道:
1. 每個(gè)條目都必須與IT資產(chǎn)相關(guān),該IT資產(chǎn)又必須與產(chǎn)品線相關(guān)。例如,風(fēng)險(xiǎn)可能是數(shù)據(jù)中心受損——服務(wù)器掉線,而這些服務(wù)器上托管著負(fù)責(zé)產(chǎn)品運(yùn)營的應(yīng)用——產(chǎn)品是要為公司帶來盈利的。
2. 每個(gè)條目都必須根據(jù)FAIR(信息風(fēng)險(xiǎn)因素分析)模型定義成“損失事件”,對網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行量化,以具體金額的形式列出威脅的潛在頻率與影響(例如數(shù)據(jù)中心宕機(jī)造成的營業(yè)額損失)。
ADP這樣的風(fēng)險(xiǎn)登記清晰展現(xiàn)了網(wǎng)絡(luò)安全的商業(yè)價(jià)值,闡明了量化才是重點(diǎn)。有了對損失事件的金額估算,CISO還能根據(jù)潛在損失的相對范圍確定出首要風(fēng)險(xiǎn)列表,例如,比較應(yīng)用下線和與該應(yīng)用相關(guān)的客戶信息泄露所致?lián)p失的大小,然后取舍平衡。
取舍平衡過程中需要考慮緩解措施投資的回報(bào)。這一步中,風(fēng)險(xiǎn)分析師可以再次利用FAIR模型,在給定的風(fēng)險(xiǎn)分析中調(diào)整輸入,觀察可選情況。例如,實(shí)現(xiàn)雙因子身份驗(yàn)證是否能將潛在損失減少到值回投資的程度?
接下來風(fēng)險(xiǎn)分析師可以審查實(shí)際的損失暴露面是否隨時(shí)間減小。他們可以識(shí)別出最能影響潛在損失的頂級風(fēng)險(xiǎn)的相關(guān)變量,跟蹤并定期報(bào)告這些關(guān)鍵風(fēng)險(xiǎn)指標(biāo)。
網(wǎng)絡(luò)安全價(jià)值主張的終極呈現(xiàn),在CISO將網(wǎng)絡(luò)風(fēng)險(xiǎn)量化工作完全集成進(jìn)公司風(fēng)險(xiǎn)管理項(xiàng)目中,當(dāng)他們能與市場風(fēng)險(xiǎn)和金融風(fēng)險(xiǎn)的守護(hù)者在同等條件下討論網(wǎng)絡(luò)安全如何促進(jìn)公司價(jià)值增值的時(shí)候,就自然顯現(xiàn)出來了。或許目標(biāo)略遠(yuǎn)大,但只要確實(shí)邁出第一步,在FAIR這種標(biāo)準(zhǔn)風(fēng)險(xiǎn)量化模型的基礎(chǔ)上有條不紊地衡量網(wǎng)絡(luò)風(fēng)險(xiǎn),CISO的價(jià)值終將得到公司承認(rèn)。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國終止運(yùn)營:辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!