如何將信息安全從開銷費用轉變為戰略機會?
責編:admin |2015-02-05 11:24:53數據泄露事故的增加只是因為很少企業將信息安全作為戰略重點。信息安全往往被視為成功部署新項目或新產品的路障,這種看法直接關聯到信息安全產業的不成熟性。在乘客安全方面,汽車行業也經歷著類似的階段。安全帶和安全氣囊只是根據法律要求而被添加,因為開發更安全的產品需要更多時間,并要到很久以后才會帶動汽車的銷售。安全預算通常只是滿足最低限度的合規要求,而沒有被納入企業戰略,其實后者這樣才更有效。
首席信息安全官或信息安全經理可以采取一些步驟來幫助將信息安全從開銷費用轉變為戰略機會。下面是三個例子:
首先,安全領導很重要。大多數企業領導者對CISO的職能范圍只有基本的了解。他們知道這個角色的存在是為了提供安全性和合規性。這種情況可以被視為是一個缺點,但這實際上是一個機會。這種模糊性為CISO提供了機會來為自己重新定義這個角色,同時可將對信息安全的看法從成本中心轉變為戰略合作伙伴。強有力的信息安全領導還可以從其他業務領導獲得戰略安全預算所需的支持。
其次,避免所謂的滅火式做法。很多安全領導掉入了只能響應的陷阱。這可能是由于缺乏資源、不安全的環境,或者習慣采用反應式做法。有效的安全領導者知道,為了構建有效的戰略,他們不能總是遠離前線。他們可能需要外包某些功能,或構建自動化流程來專注于更大的藍圖。這似乎有悖常理,但花時間來向領導層構建用例來獲得更多資源,要比抓住鍵盤來編寫新的防火墻規則有著更大的整體影響。
為信息安全戰略性預算獲得支持的最后一步是專注于制定和報告指標。安全領導必須非常坦誠地交代現有信息安全計劃的缺點,并以指標和報告的方式展示可操作的數據,這是提供誠實評估的最佳方式。不同的企業安全部門可能會使用不同的指標,因為這些是企業特有的指標。有些指標通常會聯系到企業提供的特定產品或服務,這些指標可能產生最大的影響;一個很好的指標示例是:通過企業開發的移動應用丟失個人信息的客戶百分比。企業通過部署更強的安全做法,這個數據應該最終會減少,并可以以此要求戰略性安全預算。
戰略性安全預算可以幫助避免很多最近發生的大型數據泄露事故。這種預算類型很難以得到,因為信息安全領域仍然沒有得到企業領導的理解。首席信息安全官或信息安全經理必須提供強有力的領導力來幫助這些領導了解戰略性信息安全預算的價值。他們也需要讓自己從日常滅火式活動中脫離出來,以便把重點放在高層次的戰術,其中包括制定和報告指標數據。