-
大多数企业领导者仍将安全建设成本视为一种虽然必不可少、但又痛心疾首的成本负担,而不是一种商业投资。他们对安全投资的态度通常是:花费的时间和资金越少越好。 -
要获得高管层的有效支持,就需要阐明信息安全的预期业务收益,这真的很难定义,也很难表达。
-
符合业务目标:要实现这一点,最好的方法是汇总要汇报的指标,并确保演讲人清楚地了解要报告的数据是如何支持企业的业务目标的。比如,在服务级别协议(SLA)中授予的用户访问请求的百分比,以此来证明生产力。 -
可控性:安全指标可以衡量能够通过流程或工具控制的因素。若报告的要点内容超出安全部门的控制范围,可能会适得其反,并且不利于做出决策或风险管理。安全经理经常直接报告通过工具统计出来的数字,而没有介绍任何相应的上下文。例如,IPS警报的较大波动可能是因为该工具进行了“优化调整”,或者可能只是反映了已在Internet上发布的新漏洞。 -
数据质量客观、可量化:为了确保安全指标有助于高管层做出业务决策,指标所代表的信息质量必须具有较高的水平,包括精度、准确性、可靠性、相关性和客观性等方面。比如,25%的关键业务系统正在运行不常用的IPS签名集。 -
开销低:虽然安全指标要体现商业价值,但也必须要易于收集和分析。收益递减规律适用于每个项目,这里也同样适用:如果指标花费了太多时间和精力,那么它们的价值就会下降。 -
趋势性:对于所收集的指标数据,通常还需要进一步的操作,才能通过收集的信息来展示未来的发展趋势。趋势性往往是一个展示和方法的问题,而不是凭空出现的一个特征。在趋势发展变化范围内也要考虑到变化性。例如,流程的成熟度不会快速变化,因此每周或每月都进行报告没有太大意义。
-
制定流程目录:首先将事件响应作为一个正式的安全流程确定下来,制定一个文档,包括流程介绍、流程图、技能要求和人员配备要求等等。 -
评估流程成熟度:在公司规模小的时候,安全流程可能比较混乱,比如缺少问责制、安全指标记录不连续等等。这说明成熟度比较低,即便之前正式规定了下来,也不应该再使用。 -
根据流程成熟度制定风险报告:为了评估效果不佳的响应流程会有什么风险,可以成立一个小组,包括来自IT、安全和业务部门的代表。他们可以通过描述可能发生的事件以及影响大但不太可能发生的事件两种场景来模拟响应流程的重要性。重点是要关注当前的控制措施和预期的控制措施之间有何差距。 -
将差距分解为项目:对于风险报告中显示存在差距的地方,要制定一系列项目来逐渐完善。 -
制定战略计划:在根据流程的成熟度和企业的风险状况了解了每个项目的影响后,便可以根据预算、进度和影响程度来确定项目的优先级。例如,有些合规性项目需要立即执行,有些项目可以暂缓一段时间执行。 -
定期向高管层汇报进度:要让高管层对安全建设保持兴趣,关键是要通过定期汇报,介绍在最近一段时间内取得了哪些成果,让高管人员参与进来。
本文始发于微信公众号(安世加):技术干货 | CSO如何展示安全建设的商业价值?
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论