Gartner 預(yù)計，今年在信息安全和風險管理產(chǎn)品和服務(wù)方面的支出將增長 11.3%，達到 1883 億美元以上。但是，盡管有這樣規(guī)模的投入，截至目前今年已經(jīng)發(fā)生了至少13起重大數(shù)據(jù)泄露事件，包括蘋果、Meta 和 Twitter。

為了更好地集中安全支出，一些首席信息安全官（CISO）正在將他們的風險評估從 IT 系統(tǒng)轉(zhuǎn)移到維持業(yè)務(wù)發(fā)展的數(shù)據(jù)、應(yīng)用程序和流程上。

福利管理軟件提供商 PlanSource 的副總裁兼 CISO David Christensen 表示：“如果你從純粹的技術(shù)角度來看安全性，很容易陷入‘我需要這個閃亮的物體，因為其他人都有’的境地。現(xiàn)實情況卻往往是，最流行或最知名的新安全解決方案可能會浪費資金，拖累業(yè)務(wù)，特別是當它與業(yè)務(wù)目標不一致時。而且，即使它有助于保護某個部分的業(yè)務(wù)，也很可能不是業(yè)務(wù)或業(yè)務(wù)流程中產(chǎn)生最大風險或最重要的部分?！?/p>

Don Pecha 是管理服務(wù)提供商 FNTS 的 CIO。他對此也表示同意，并補充說： “公司的每個業(yè)務(wù)部門都可能有獨特的考慮，以及獨特的合規(guī)、監(jiān)管或隱私應(yīng)用程序，每個業(yè)務(wù)可能都有獨特的風險供董事會或高管考慮。”

風險投資公司 YL Ventures 的駐場 CISO 和 SANS 研究所的研究員 Frank Kim 引用了一個 CISO 的案例，該 CISO 因提出昂貴的終點檢測、響應(yīng)和事件響應(yīng)計劃而被解雇，這些計劃被認為不適合此類初創(chuàng)公司。Kim 說：“初創(chuàng)公司的重點是生存和收入增長?？蛇@位 CISO 沒有意識到自己的工作不僅僅是提出一系列新的安全功能，還有業(yè)務(wù)支持?！?/p>

價值的新定義

將安全與業(yè)務(wù)相結(jié)合超越了證明安全支出合理性的傳統(tǒng)方法，比如警告黑客攻擊的后果或試圖證明 RO。對于企業(yè)內(nèi)部安全團隊，Kim 說要接受安全是一個成本中心，并展示 CISO 如何在一段時間內(nèi)管理總成本。。金融服務(wù)提供商 Oportun 的高級副總裁兼首席信息官 Tyson Kopczynski 補充道，這可能包括向首席財務(wù)官和首席執(zhí)行官更新具體的成本削減情況，例如減少與安全供應(yīng)商的支出，找到一種更便宜的產(chǎn)品來滿足安全需求，或者改進內(nèi)部指標，如緩解漏洞的平均成本。

Christensen 進一步建議解釋安全如何能夠削減成本或提高生產(chǎn)力。例如，他說，網(wǎng)絡(luò)應(yīng)用防火墻不僅可以保護應(yīng)用程序，還可以通過減少虛假和惡意的流量來削減網(wǎng)絡(luò)成本。另外，采用零信任架構(gòu)和安全訪問服務(wù)邊緣技術(shù)可以幫助提高生產(chǎn)力，使用戶無需手動部署虛擬專用網(wǎng)絡(luò)來訪問資源，或在 VPN 失敗時中斷會議。

Kopczynski 補充說，CISO 可以通過一些問題來發(fā)現(xiàn)這種改進，比如他們的組織是否正在使用一個安全工具中的所有功能，這些功能是否與其他工具重疊，以及組織是否為許可證支付了太多的費用或太多的許可證。他說，使價值最大化的方法包括考慮執(zhí)行多種安全功能的工具，或運行滲透測試、攻擊模擬或進攻性安全活動，以證明一個工具可以擊退高影響的攻擊。例如，他使用 Titaniam 加密引擎來支持幾個數(shù)據(jù)保護用例，以及亞馬遜和微軟等云提供商提供的安全工具。他說：“我們還研究了提供多組保護的通用云安全解決方案，而不是解決一個特定的用例?！薄?/p>

在全球營銷機構(gòu)和咨詢公司 The Channel Company 的 CIO Rik Wright 說，安全方面的考慮已經(jīng)深入到業(yè)務(wù)戰(zhàn)略和預(yù)算編制中。這包括從滿足歐盟 GDPR 的需要到遵守客戶的安全要求。

避免威脅也是該公司安全價值方程的一部分，該公司在基礎(chǔ)設(shè)施方面使用管理服務(wù)提供商 GreenPages，并幫助滿足其安全需求。賴特說，他看到一些公司在遭受勒索軟件攻擊后，潛在的商業(yè)威脅金額高達 2000 萬美元，因此，他說，防止這種損失代表了非常真實的價值。

了解業(yè)務(wù)需求

將安全支出與業(yè)務(wù)需求結(jié)合起來，首先要了解什么對業(yè)務(wù)經(jīng)理來說是最重要的。

Kim 建議使用“風險=影響x可能性”公式，并從 1 到 10 的范圍內(nèi)了解你最重要的流程和資產(chǎn)是什么。他說：“你的財務(wù)數(shù)據(jù)可能是 10 分，但你的人力資源數(shù)據(jù)可能是 7 分，因為這不是一個商業(yè)差異。只需在風險計算中使用一個簡單的評分標準，就有助于確定優(yōu)先事項?！?/p>

除了業(yè)務(wù)，Christensen 說 CISO 還必須咨詢 IT 部門，以了解一項新的安全技術(shù)可能帶來的管理負擔，以及所有可以使用安全工具來最大化其價值的領(lǐng)域。他使用 dope.security 的安全網(wǎng)絡(luò)網(wǎng)關(guān)，不僅可以控制訪問，還可以了解用戶正在訪問哪些信息和網(wǎng)站，以及他們使企業(yè)面臨的潛在風險。

行業(yè)標準框架也可以為風險評估提供一種共同的語言和結(jié)構(gòu)，如 NIST（美國國家標準與技術(shù)研究院）網(wǎng)絡(luò)安全框架。Christensen 說：“這很簡單，不需要成為一名安全從業(yè)者就可以理解它，但它可以模擬你的成熟度，并有助于將其與業(yè)務(wù)利益相關(guān)者聯(lián)系起來?！彼a充道，它也基于行業(yè)標準，而不是 CISO 的意見，并不斷更新以反映新的風險。

Pecha 則表示，不同的安全框架最適合于不同的行業(yè)。他說：“如果我在政府任職，我將與NIST接軌。如果你是一家全球企業(yè)，就使用 ISO/IEC 27000 系列標準。不一定要認證，但要合規(guī)，了解控制措施是什么，以便了解你的合作伙伴的安全需求以及你自己的安全需求?！?/p>

制造商 Johns Manville 的高級安全和網(wǎng)絡(luò)工程經(jīng)理 Scott Reynolds 則使用 ISA/IEC 62443 標準，在業(yè)務(wù)經(jīng)理、安全專家和供應(yīng)商之間就共同術(shù)語（如共享共同安全需求的資產(chǎn)“區(qū)域”）達成共識。他說：“這個過程也表明我們對整個區(qū)域的風險水平達成一致，而不僅僅是區(qū)域內(nèi)的每一項資產(chǎn)。區(qū)域內(nèi)最薄弱的環(huán)節(jié)將影響到區(qū)域內(nèi)所有的資產(chǎn)。”

在媒體創(chuàng)作和編輯技術(shù)供應(yīng)商 Avid Technology，其 CIO 和首席安全官 Dmitriy Sokolovskiy 使用 NIST 的網(wǎng)絡(luò)安全框架來衡量其安全流程的成熟度，并使用互聯(lián)網(wǎng)安全中心的頂級安全控制來獲得具體的戰(zhàn)術(shù)指導，他說，這突出了企業(yè)可以在其基礎(chǔ)設(shè)施中輕松解決的低懸果。

謹慎使用基準

一些 CIO 對使用基準將他們的安全支出與其他人進行比較持懷疑態(tài)度。他們說，這是因為公司可能以不同的方式定義安全支出或有不同的需求。他們還說，基準往往沒有描述組織如何以及為何分配其安全預(yù)算。因此，他們將基準作為預(yù)算編制的粗略指南，主要依靠自己的風險評估。

但 Kim 警告 CISO 不要拒絕核心的基準測試請求。他說："要求一個基準并不是不合理的。首席財務(wù)官不能說，'我們不能把我們的每股收益與行業(yè)中的其他人進行比較'"。他表示，提供基準，但要作為更廣泛的解釋的一部分，說明你的安全支出與其他人的比較，組織面臨的挑戰(zhàn)，以及你是如何隨著時間的推移減少安全的總成本的。

Pecha 說：“ CISO 應(yīng)該描述當前的威脅和攻擊”，并提供補救措施。他說，然后由董事會和高管決定什么是可以接受的，以及需要做什么來管理企業(yè)的整體風險，因為只有他們才有能力推動變革。

堅持讓企業(yè)高管正式接受商業(yè)風險，甚至是書面形式，往往能說服他們同意擬議的安全支出。當 Sokolovskiy 堅持這樣的審批時，“到目前為止，業(yè)務(wù)部門實際上是被迫自己降低風險的，因為他們才是風險對象。”

Christensen 表示，以業(yè)務(wù)為中心的方法還可以刺激安全和業(yè)務(wù)團隊努力識別提高效率和節(jié)省資金的機會，例如通過消除多余的系統(tǒng)和流程。他說：“通過業(yè)務(wù)整合，你別無選擇，只能找到獨特和創(chuàng)新的方法來解決業(yè)務(wù)運營方式帶來的問題?！?/p>

來源：www.cio.com