CISO如何證明安全的業務價值
責編:gltian |2019-02-20 13:17:19CISO必須以切實的金額清晰呈現其業務價值。
如果你是CISO或者其他層級的信息安全官,下面的工作描述聽起來可能你會認同:
我的工作是管理信息安全以保證企業安全。
而你的成功指標,也就是你用以讓公司其他人明白你價值的東西,可能與維護和改善技術層面的安全有關,比如修復的漏洞或達成的 NIST CSF 成熟度等級。
然而,以上說法僅對了一部分。事實上,與公司里其他人的工作一樣,信息安全官的工作不僅僅在于防護公司,而在于讓公司在可接受的風險水平上高效賺錢。
為取得職業上的真正成功,CISO必須以具體金錢數額的形式向公司證明自己的價值。也就是說,CISO要將自己的標簽從“最小化威脅和漏洞”,轉變到包含進“提供業務支持選項”上,即:安全投資水平和相應風險之間的權衡要清晰地表達出來,以便做出明智的商業決策。
CISO需關注公司的戰略目標,重視支持首要業務職能的人員、技術及過程,要將技術層面上的安全納入整體考慮。以風險等級為例。大多數風險登記是以分類賬的形式執行的,在一個地方記錄控制缺陷、審計發現和策略例外,或者僅僅簡單分類可能留有隱患的一些事務,比如“遷移到云端”。
這些條目可能就靠分析師的直覺分類為高-中-低級風險(很有可能就是中級),或者干脆不加區分地混在一堆。無論如何,都沒將這些“風險”與潛在經濟損失之類公司關心的東西聯系起來。
人力資源與薪資服務公司ADP在這方面做得更好些,該公司是當今最佳網絡風險經理人之一,擁有2套風險注冊管理規則。其首席安全顧問 Marta Palanques 在2017年的FAIR大會上這么說道:
1. 每個條目都必須與IT資產相關,該IT資產又必須與產品線相關。例如,風險可能是數據中心受損——服務器掉線,而這些服務器上托管著負責產品運營的應用——產品是要為公司帶來盈利的。
2. 每個條目都必須根據FAIR(信息風險因素分析)模型定義成“損失事件”,對網絡風險進行量化,以具體金額的形式列出威脅的潛在頻率與影響(例如數據中心宕機造成的營業額損失)。
ADP這樣的風險登記清晰展現了網絡安全的商業價值,闡明了量化才是重點。有了對損失事件的金額估算,CISO還能根據潛在損失的相對范圍確定出首要風險列表,例如,比較應用下線和與該應用相關的客戶信息泄露所致損失的大小,然后取舍平衡。
取舍平衡過程中需要考慮緩解措施投資的回報。這一步中,風險分析師可以再次利用FAIR模型,在給定的風險分析中調整輸入,觀察可選情況。例如,實現雙因子身份驗證是否能將潛在損失減少到值回投資的程度?
接下來風險分析師可以審查實際的損失暴露面是否隨時間減小。他們可以識別出最能影響潛在損失的頂級風險的相關變量,跟蹤并定期報告這些關鍵風險指標。
網絡安全價值主張的終極呈現,在CISO將網絡風險量化工作完全集成進公司風險管理項目中,當他們能與市場風險和金融風險的守護者在同等條件下討論網絡安全如何促進公司價值增值的時候,就自然顯現出來了。或許目標略遠大,但只要確實邁出第一步,在FAIR這種標準風險量化模型的基礎上有條不紊地衡量網絡風險,CISO的價值終將得到公司承認。