首席信息安全官应当如何识别和量化安全的真正价值呢?
安全主管Ricardo González并没有将IT安全视为成本中心。相反,他将其描述为“一项可降低企业风险的战略投资,能够为实现业务价值做出积极贡献。”
在这方面,整个公司的高层都没有给予充分重视。不过,随着首席信息安全官及其安全团队开始逐渐成熟并成为了行政领导者,这一观点才开始流行。
作为国际保险巨头苏黎世保险集团西班牙分公司的运营风险与控制主管和业务弹性经理的González说,越来越多的首席信息安全官开始认同他的观点,并希望对安全价值进行量化。他说:“首席信息安全官们越来越关注如何衡量自己的贡献了。”
这项工作非常重要并且是值得的,但是许多首席信息安全官们都是竭力从财务的角度出发阐明安全为企业提供了什么,以及带来了多少价值。尽管专家表示,这么做也是有必要的。
González说:“对于销售、生产、采购甚至对于IT来说,证明业务价值都比较容易。但是对于合规性、风险管理或信息安全等功能而言,证明它们的价值则更具挑战性,重要的是实现它们的价值。这些领域的专业人员通常会误以为这些是某种程度上的‘必要’,是业务成本的一部分。这是一种误解。你应尽可能地帮助高效地实现业务目标、达到顶线增长和守住荣枯线,并尽可能减少浪费。如果没有人在衡量你的贡献,那么我应该考虑如何做到更好。”
对于首席信息安全官而言,这是新领域,他们过去一直专注于评估战术上的改进,例如实施的补丁数量或阻止的拒绝服务攻击。这项工作特别具有挑战性,因为众所周知,安全投资的投资回报率是难以计算的。那么在没有安全情况发生时应当如何进行衡量呢?
一些安全主管、研究人员和网络安全顾问表示,有很多方法可以做到这一点。 他们一致认为,首席信息安全官现在需要量化考评和关键绩效指标(KPI),以更好地展示安全功能为整个企业所带来的业务价值。
市场研究机构Gartner Research负责风险与安全管理团队的主管Sam Olyaei说:“传统的安全仪表盘或记分卡主要是由处理的项目或漏洞、网络钓鱼点击率和所修补的程序组成的。尽管这些事情对于了解企业的安全状况很重要,但是它们并没有给首席信息安全官以外的其他人带来任何价值。”
虽然没有一个可以适用于所有首席信息安全官的KPI,不过专家认为,要想在企业中展示安全的业务价值,首席信息安全官在制定衡量标准时应当遵循以下几个关键步骤。
对风险进行测算
万事达卡负责信息安全工程的副总裁兼部门安全官Anne Marie Zettlemoyer指出,首先,每个首席信息安全官必须从业务角度了解自己的企业,包括营收流、资产、战略等,以及这些要素对风险的承受能力。
致力于IT治理的专业协会ISACA的安全专家Zettlemoyer说:“安全并不仅仅关系到自身。它们涉及到对业务风险的理解和围绕风险制订的防范措施。”
知道哪些东西对于业务来说最重要的首席信息安全官可以建立符合业务需求的安全计划,因而不太可能过分强调不太重要的领域的安全性,进而导致在最关键领域中投资不足。Zettlemoyer补充称:“首席信息安全官必须建立与风险相适应的防御和能力。”
许多企业在这点上尚未成熟。《2018~2019年度安永全球信息安全调查》对包括信息安全和IT主管在内的约1400位高级管理人员进行了调查。调查发现55%的企业“没有将保护企业安全作为其战略和执行计划的组成部分”。该调查还发现,92%企业的网络安全功能无法完全满足其需求。
专家认为,了解业务优先级、战略和风险承受能力的首席信息安全官可以更好地阐明特定的安全投资如何与这些业务目标和风险阈值保持一致。这些首席信息安全官可以根据企业的风险承受能力来制订安全性的价值主张。
González解释说:“度量和指标只有在能够帮助人们理解安全性距离阈值有多远的情况下才有意义。”
对安全性在业务成功中的作用进行量化
在将安全投资与企业风险承受能力有机结合方面,首席信息安全官不能撒手不管。
他们还需要了解企业的战略计划,考虑安全功能在哪些地方以什么方式实现业务目标,然后确定并量化安全角色对这些计划的整体成功所做出的贡献。
Olyaei表示:“安全的价值在于如何促进业务成果,如何帮助将业务产品从A点带到B点。”与业务合作部门关系密切的首席信息安全官可以更好地询问、学习和了解所有指定计划的财务状况,并梳理出安全性对项目成功的贡献。
例如,为了将企业开发的数字产品推向市场,可以考虑安全性如何与业务和IT团队协作。正如Zettlemoyer指出的那样:“大多数首席信息安全官都知道如果出现了问题,根据合同或监管他们所承担的责任会产生什么样的成本。”
这些数字可以帮助强调安全在这些数字产品中的作用,就像业务和IT功能可以分享其赢得投资回报率的方式一样。
González指出,因此要确定安全对特定项目和计划成功所做出的贡献,然后再继续进行评估。
González说:“可以说,对IT安全状况的评估以及随后的改进和维护是特定业务计划(例如合并)成功的关键,IT安全的贡献可能占2%。从长远看,潜在的业务收益的2%可以归功于IT安全。”
使用重要指标
当然,安全性不仅仅关系到赋能,它们的存在仍然是以保护和捍卫企业为目的。
谁也无法提供100%的安全保证。几年前,安全领域内的专业人士已经意识到,他们不可能建造一座坚不可摧的堡垒。实际上,大多数首席信息安全官也都认为某些事件是不可避免的,只是时间早晚的问题。不过,企业的高管和董事可能并没有收到过这种信息。
Olyaei说:“大多数首席信息安全官仍会向董事会承诺100%的安全,他们会说‘如果给我多少多少资金,我会解决这个问题’。即使董事会告诉他们不会拨款,他们也会承诺做到完美。”
因此安全性必须要展示它们在差别更加细微的指标下表现如何,这些指标并不是简单(且完全地)衡量安全与不安全,而是用于指明企业会处于哪些极端情况以及这些措施是否正在随着时间的推移而进行改进。
首席信息安全官可以使用许多指标来制订能够展示安全投资价值的KPI。
清楚哪些是重点
对企业所有资产进行分类处理的安全团队是否已经确定了每种资产的风险承受能力并实施了相应的防御级别?
商业网络公司SOSA NYC的企业创新专员和网络安全专家Omri Admon称:“每家企业都应该知道自己的重要资产,即核心技术是什么以及想要保护哪些东西。这样他们就可以在最有价值的资产周围建立一堵防护墙。有一些企业非常清楚,如果他们丢失了大量的电子邮件,那只是罚款的事;但是如果丢失的是社会安全号码,那么性质就完全变了。”
对弹性进行评估
发生攻击时的响应时间是多少?安全团队能够以多快的速度交付响应的关键要素,例如多长时间才能关闭出口点以减少从企业流出的数据?Admon指出,首席信息安全官可以美元为计算单位计算快速响应以降低业务影响的价值。
Zettlemoyer称,她采用的方法是使用研究数据和公开的数据来计算安全投资能够为企业带来多大的财务收益。
她说:“我们在谈论弹性问题时,可以通过测试、模拟和练习来展示它们的价值。这些测试可以证明企业应对某件事的准备程度以及恢复速度。”
以其他企业为标杆进行评估
Zettlemoyer称,通过其他企业因未做好充分准备而面临的后果和成本,她能够很好地解释自己的安全团队在事件中的反应、预期的弹性水平以及因准备充分而节省下来的资金。例如,由于2017年NotPetya袭击,哥本哈根的航运巨头A.P. Moller-Maersk估计损失了200万至3亿美元。Zettlemoyer在评估中就使用了这一事件。
此外,还可以以其他企业发生的数据泄露事件为基准评估相同行业或类似规模的处置方式。
ISACA董事会副主席,Forfa Consulting AG合作伙伴首席执行官兼Forfa Holding AG董事长Rolf von Roessing说:“这些都是可用的硬数据。”首席信息安全官可以将其成功与否,投资的价值与违规的数量和成本,以及类似企业遭受的相关处罚或罚款金额进行比较。
管理与IT咨询公司Swingtide的高级顾问Bill Serowka称,首席信息安全官可以使用数据(例如Ponemon的《年度数据泄露成本报告》)来量化安全功能的实际价值。据2019年的报告显示,数据泄露的平均成本为392万美元,比五年前增长了12%。
Serowka说,这些数字有助于业务主管、首席执行官和董事充分认识到安全投资所产生的价值。 因此做好安全准备是值得的。“首席信息安全官需要量化风险,并且需要以美元来衡量风险。同时他们还需要进行相应的报告。因为业务就是风险与回报的较量,高管们想了解他们是否应该承担这些风险,风险是否抵消了回报。”
