Gartner 預(yù)計(jì)，今年在信息安全和風(fēng)險(xiǎn)管理產(chǎn)品和服務(wù)方面的支出將增長(zhǎng) 11.3%，達(dá)到 1883 億美元以上。但是，盡管有這樣規(guī)模的投入，截至目前今年已經(jīng)發(fā)生了至少13起重大數(shù)據(jù)泄露事件，包括蘋(píng)果、Meta 和 Twitter。

為了更好地集中安全支出，一些首席信息安全官（CISO）正在將他們的風(fēng)險(xiǎn)評(píng)估從 IT 系統(tǒng)轉(zhuǎn)移到維持業(yè)務(wù)發(fā)展的數(shù)據(jù)、應(yīng)用程序和流程上。

福利管理軟件提供商 PlanSource 的副總裁兼 CISO David Christensen 表示：“如果你從純粹的技術(shù)角度來(lái)看安全性，很容易陷入‘我需要這個(gè)閃亮的物體，因?yàn)槠渌硕加小木车亍，F(xiàn)實(shí)情況卻往往是，最流行或最知名的新安全解決方案可能會(huì)浪費(fèi)資金，拖累業(yè)務(wù)，特別是當(dāng)它與業(yè)務(wù)目標(biāo)不一致時(shí)。而且，即使它有助于保護(hù)某個(gè)部分的業(yè)務(wù)，也很可能不是業(yè)務(wù)或業(yè)務(wù)流程中產(chǎn)生最大風(fēng)險(xiǎn)或最重要的部分。”

Don Pecha 是管理服務(wù)提供商 FNTS 的 CIO。他對(duì)此也表示同意，并補(bǔ)充說(shuō)： “公司的每個(gè)業(yè)務(wù)部門(mén)都可能有獨(dú)特的考慮，以及獨(dú)特的合規(guī)、監(jiān)管或隱私應(yīng)用程序，每個(gè)業(yè)務(wù)可能都有獨(dú)特的風(fēng)險(xiǎn)供董事會(huì)或高管考慮?！?/p>

風(fēng)險(xiǎn)投資公司 YL Ventures 的駐場(chǎng) CISO 和 SANS 研究所的研究員 Frank Kim 引用了一個(gè) CISO 的案例，該 CISO 因提出昂貴的終點(diǎn)檢測(cè)、響應(yīng)和事件響應(yīng)計(jì)劃而被解雇，這些計(jì)劃被認(rèn)為不適合此類初創(chuàng)公司。Kim 說(shuō)：“初創(chuàng)公司的重點(diǎn)是生存和收入增長(zhǎng)?？蛇@位 CISO 沒(méi)有意識(shí)到自己的工作不僅僅是提出一系列新的安全功能，還有業(yè)務(wù)支持?！?/p>

價(jià)值的新定義

將安全與業(yè)務(wù)相結(jié)合超越了證明安全支出合理性的傳統(tǒng)方法，比如警告黑客攻擊的后果或試圖證明 RO。對(duì)于企業(yè)內(nèi)部安全團(tuán)隊(duì)，Kim 說(shuō)要接受安全是一個(gè)成本中心，并展示 CISO 如何在一段時(shí)間內(nèi)管理總成本。。金融服務(wù)提供商 Oportun 的高級(jí)副總裁兼首席信息官 Tyson Kopczynski 補(bǔ)充道，這可能包括向首席財(cái)務(wù)官和首席執(zhí)行官更新具體的成本削減情況，例如減少與安全供應(yīng)商的支出，找到一種更便宜的產(chǎn)品來(lái)滿足安全需求，或者改進(jìn)內(nèi)部指標(biāo)，如緩解漏洞的平均成本。

Christensen 進(jìn)一步建議解釋安全如何能夠削減成本或提高生產(chǎn)力。例如，他說(shuō)，網(wǎng)絡(luò)應(yīng)用防火墻不僅可以保護(hù)應(yīng)用程序，還可以通過(guò)減少虛假和惡意的流量來(lái)削減網(wǎng)絡(luò)成本。另外，采用零信任架構(gòu)和安全訪問(wèn)服務(wù)邊緣技術(shù)可以幫助提高生產(chǎn)力，使用戶無(wú)需手動(dòng)部署虛擬專用網(wǎng)絡(luò)來(lái)訪問(wèn)資源，或在 VPN 失敗時(shí)中斷會(huì)議。

Kopczynski 補(bǔ)充說(shuō)，CISO 可以通過(guò)一些問(wèn)題來(lái)發(fā)現(xiàn)這種改進(jìn)，比如他們的組織是否正在使用一個(gè)安全工具中的所有功能，這些功能是否與其他工具重疊，以及組織是否為許可證支付了太多的費(fèi)用或太多的許可證。他說(shuō)，使價(jià)值最大化的方法包括考慮執(zhí)行多種安全功能的工具，或運(yùn)行滲透測(cè)試、攻擊模擬或進(jìn)攻性安全活動(dòng)，以證明一個(gè)工具可以擊退高影響的攻擊。例如，他使用 Titaniam 加密引擎來(lái)支持幾個(gè)數(shù)據(jù)保護(hù)用例，以及亞馬遜和微軟等云提供商提供的安全工具。他說(shuō)：“我們還研究了提供多組保護(hù)的通用云安全解決方案，而不是解決一個(gè)特定的用例?！薄?/p>

在全球營(yíng)銷機(jī)構(gòu)和咨詢公司 The Channel Company 的 CIO Rik Wright 說(shuō)，安全方面的考慮已經(jīng)深入到業(yè)務(wù)戰(zhàn)略和預(yù)算編制中。這包括從滿足歐盟 GDPR 的需要到遵守客戶的安全要求。

避免威脅也是該公司安全價(jià)值方程的一部分，該公司在基礎(chǔ)設(shè)施方面使用管理服務(wù)提供商 GreenPages，并幫助滿足其安全需求。賴特說(shuō)，他看到一些公司在遭受勒索軟件攻擊后，潛在的商業(yè)威脅金額高達(dá) 2000 萬(wàn)美元，因此，他說(shuō)，防止這種損失代表了非常真實(shí)的價(jià)值。

了解業(yè)務(wù)需求

將安全支出與業(yè)務(wù)需求結(jié)合起來(lái)，首先要了解什么對(duì)業(yè)務(wù)經(jīng)理來(lái)說(shuō)是最重要的。

Kim 建議使用“風(fēng)險(xiǎn)=影響x可能性”公式，并從 1 到 10 的范圍內(nèi)了解你最重要的流程和資產(chǎn)是什么。他說(shuō)：“你的財(cái)務(wù)數(shù)據(jù)可能是 10 分，但你的人力資源數(shù)據(jù)可能是 7 分，因?yàn)檫@不是一個(gè)商業(yè)差異。只需在風(fēng)險(xiǎn)計(jì)算中使用一個(gè)簡(jiǎn)單的評(píng)分標(biāo)準(zhǔn)，就有助于確定優(yōu)先事項(xiàng)?！?/p>

除了業(yè)務(wù)，Christensen 說(shuō) CISO 還必須咨詢 IT 部門(mén)，以了解一項(xiàng)新的安全技術(shù)可能帶來(lái)的管理負(fù)擔(dān)，以及所有可以使用安全工具來(lái)最大化其價(jià)值的領(lǐng)域。他使用 dope.security 的安全網(wǎng)絡(luò)網(wǎng)關(guān)，不僅可以控制訪問(wèn)，還可以了解用戶正在訪問(wèn)哪些信息和網(wǎng)站，以及他們使企業(yè)面臨的潛在風(fēng)險(xiǎn)。

行業(yè)標(biāo)準(zhǔn)框架也可以為風(fēng)險(xiǎn)評(píng)估提供一種共同的語(yǔ)言和結(jié)構(gòu)，如 NIST（美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院）網(wǎng)絡(luò)安全框架。Christensen 說(shuō)：“這很簡(jiǎn)單，不需要成為一名安全從業(yè)者就可以理解它，但它可以模擬你的成熟度，并有助于將其與業(yè)務(wù)利益相關(guān)者聯(lián)系起來(lái)?！彼a(bǔ)充道，它也基于行業(yè)標(biāo)準(zhǔn)，而不是 CISO 的意見(jiàn)，并不斷更新以反映新的風(fēng)險(xiǎn)。

Pecha 則表示，不同的安全框架最適合于不同的行業(yè)。他說(shuō)：“如果我在政府任職，我將與NIST接軌。如果你是一家全球企業(yè)，就使用 ISO/IEC 27000 系列標(biāo)準(zhǔn)。不一定要認(rèn)證，但要合規(guī)，了解控制措施是什么，以便了解你的合作伙伴的安全需求以及你自己的安全需求?！?/p>

制造商 Johns Manville 的高級(jí)安全和網(wǎng)絡(luò)工程經(jīng)理 Scott Reynolds 則使用 ISA/IEC 62443 標(biāo)準(zhǔn)，在業(yè)務(wù)經(jīng)理、安全專家和供應(yīng)商之間就共同術(shù)語(yǔ)（如共享共同安全需求的資產(chǎn)“區(qū)域”）達(dá)成共識(shí)。他說(shuō)：“這個(gè)過(guò)程也表明我們對(duì)整個(gè)區(qū)域的風(fēng)險(xiǎn)水平達(dá)成一致，而不僅僅是區(qū)域內(nèi)的每一項(xiàng)資產(chǎn)。區(qū)域內(nèi)最薄弱的環(huán)節(jié)將影響到區(qū)域內(nèi)所有的資產(chǎn)?！?/p>

在媒體創(chuàng)作和編輯技術(shù)供應(yīng)商 Avid Technology，其 CIO 和首席安全官 Dmitriy Sokolovskiy 使用 NIST 的網(wǎng)絡(luò)安全框架來(lái)衡量其安全流程的成熟度，并使用互聯(lián)網(wǎng)安全中心的頂級(jí)安全控制來(lái)獲得具體的戰(zhàn)術(shù)指導(dǎo)，他說(shuō)，這突出了企業(yè)可以在其基礎(chǔ)設(shè)施中輕松解決的低懸果。

謹(jǐn)慎使用基準(zhǔn)

一些 CIO 對(duì)使用基準(zhǔn)將他們的安全支出與其他人進(jìn)行比較持懷疑態(tài)度。他們說(shuō)，這是因?yàn)楣究赡芤圆煌姆绞蕉x安全支出或有不同的需求。他們還說(shuō)，基準(zhǔn)往往沒(méi)有描述組織如何以及為何分配其安全預(yù)算。因此，他們將基準(zhǔn)作為預(yù)算編制的粗略指南，主要依靠自己的風(fēng)險(xiǎn)評(píng)估。

但 Kim 警告 CISO 不要拒絕核心的基準(zhǔn)測(cè)試請(qǐng)求。他說(shuō)："要求一個(gè)基準(zhǔn)并不是不合理的。首席財(cái)務(wù)官不能說(shuō)，'我們不能把我們的每股收益與行業(yè)中的其他人進(jìn)行比較'"。他表示，提供基準(zhǔn)，但要作為更廣泛的解釋的一部分，說(shuō)明你的安全支出與其他人的比較，組織面臨的挑戰(zhàn)，以及你是如何隨著時(shí)間的推移減少安全的總成本的。

Pecha 說(shuō)：“ CISO 應(yīng)該描述當(dāng)前的威脅和攻擊”，并提供補(bǔ)救措施。他說(shuō)，然后由董事會(huì)和高管決定什么是可以接受的，以及需要做什么來(lái)管理企業(yè)的整體風(fēng)險(xiǎn)，因?yàn)橹挥兴麄儾庞心芰ν苿?dòng)變革。

堅(jiān)持讓企業(yè)高管正式接受商業(yè)風(fēng)險(xiǎn)，甚至是書(shū)面形式，往往能說(shuō)服他們同意擬議的安全支出。當(dāng) Sokolovskiy 堅(jiān)持這樣的審批時(shí)，“到目前為止，業(yè)務(wù)部門(mén)實(shí)際上是被迫自己降低風(fēng)險(xiǎn)的，因?yàn)樗麄儾攀秋L(fēng)險(xiǎn)對(duì)象?！?/p>

Christensen 表示，以業(yè)務(wù)為中心的方法還可以刺激安全和業(yè)務(wù)團(tuán)隊(duì)努力識(shí)別提高效率和節(jié)省資金的機(jī)會(huì)，例如通過(guò)消除多余的系統(tǒng)和流程。他說(shuō)：“通過(guò)業(yè)務(wù)整合，你別無(wú)選擇，只能找到獨(dú)特和創(chuàng)新的方法來(lái)解決業(yè)務(wù)運(yùn)營(yíng)方式帶來(lái)的問(wèn)題?！?/p>

來(lái)源：www.cio.com