編者薦語:
管控對業(yè)務最重要的應用程序、數(shù)據(jù)和流程可以降低風險并節(jié)省資金���。以業(yè)務為中心的方法可以激勵安全和業(yè)務團隊努力尋找提高效率和節(jié)省資金的機會�����,例如消除冗余的系統(tǒng)和流程�。建議使用“風險=影響X可能性”公式�,在 1 到 10 的范圍內評估流程和資產(chǎn)����。
資料來源:猴子的商業(yè)形象
圖源:MONKEY BUSINESS IMAGES(圖片上傳者��,可以譯為用戶MONKEY BUSINESS IMAGES����,或者MONKEY BUSINESS IMAGES) / SHUTTERSTOCK
Gartner(高德納,Gartner Group公司成立于1979年���,它是第一家信息技術研究和分析的公司�。它為有需要的技術用戶來提供專門的服務��。Gartner已經(jīng)成為了一家獨立的咨詢公司,Gartner公司的服務主要是迎合中型公司的需要�����,它希望使自己的業(yè)務覆蓋到IT行業(yè)的所有領域,從而讓自己成為每一位用戶的一站式信息技術服務公司。)預計��,今年企業(yè)在信息安全和風險管理產(chǎn)品和服務上的支出將增長 11.3%,達到超過 1883 億美元之巨����。盡管投入巨大�,但已經(jīng)至少發(fā)生 13 起重大數(shù)據(jù)泄露事件��,包括Apple(Apple Inc.����,蘋果公司�,是美國高科技公司。2021財年蘋果營收達到3658億美元���,由史蒂夫·喬布斯�、斯蒂夫·蓋瑞·沃茲尼亞克和羅納德·杰拉爾德·韋恩等人于1976年4月1日創(chuàng)立�����,并命名為美國蘋果電腦公司����,Apple Computer Inc.�����,2007年1月9日更名為蘋果公司����,總部位于加利福尼亞州的庫比蒂諾����。)、Meta(Meta Platform Inc��,美國互聯(lián)網(wǎng)公司����,原名Facebook����,創(chuàng)立于2004年2月4日,總部位于美國加利福尼亞州門洛帕克��。“Meta”�,來源于“元宇宙”����,Metaverse�����,意思是包涵萬物無所不聯(lián)。Facebook堅定地希望甩掉問世以來就牢牢被貼在身上的標簽——社交媒體,要跳出發(fā)家領域社交媒體的“舒適圈”�,著力開拓元宇宙e���。) 和Twitter(推特�,是一家美國社交網(wǎng)絡及微博客服務的公司��,致力于服務公眾對話)���。
為了更好地專注于安全支出����,一些chief information security officers (CISOs�����,首席信息安全官) 正在將其安全風險評估從 IT 系統(tǒng)轉移到保障業(yè)務運行的數(shù)據(jù)���、應用程序和流程上去�。
“如果你從純粹的技術角度來看安全性���,你很容易陷入‘我關注這個熱點�����,因為其他人也關注’的境地”���,福利管理軟件提供商PlanSource(福利管理軟件提供商)的副總裁兼CISO(首席信息安全官) David Christensen(大衛(wèi) ·克里斯坦森)表示�����,“事實往往是,最流行或最知名的新安全解決方更可能浪費資金���,拖緩業(yè)務發(fā)展,尤其是當它與業(yè)務目標不一致的情況下���。即使它有助于保護一部分業(yè)務�,也可能不是業(yè)務或業(yè)務流程中造成最大風險或最重要的部分�。”
FNTS(托管服務提供商)的CISO(首席信息安全官) Don Pecha(唐·佩查)對此表示贊同�����,并補充道:“公司的每個業(yè)務單位可能有獨特的考慮因素,和獨特的合規(guī)���、監(jiān)管或隱私應用程序��,每一項業(yè)務都可能有獨特的風險供董事會或高管需要考慮?���!?/span>
YL Ventures(風險投資公司)的常駐CISO(首席信息安全官)���、SANS Institute(美國系統(tǒng)網(wǎng)絡安全協(xié)會��,成立于1989年��,是一個合作研究和教育組織。其項目目前已覆蓋全球165000多名安全專業(yè)人員���。從審計員�����、網(wǎng)絡管理員到首席信息安全官����,一系列人都在分享他們所學到的教訓���,并共同尋找應對他們所面臨挑戰(zhàn)的解決方案��。SANS的核心是從公司到大學的各種全球組織中的許多安全從業(yè)者�����,他們共同幫助整個信息安全社區(qū)����。)成員Frank Kim(弗蘭克·金)引用了一名CISO(首席信息安全官)的案例���,該CISO因提出昂貴的終點檢測���、響應和事件響應計劃而被解雇,這些計劃被認為不適合此類初創(chuàng)公司���。“我們的重點是生存和收入增長���,”Kim(金)說���?���!八麤]有意識到自己的工作不僅僅是提出一系列新的安全功能,還有業(yè)務支持��?��!?/span>
一���、價值的新定義
調整安全與業(yè)務超出了證明安全支出的合理性的傳統(tǒng)做法����,比如警告黑客攻擊的后果或試圖證明ROI(投資回報率,是指通過投資而應返回的價值,即企業(yè)從一項投資活動中得到的經(jīng)濟回報����。它涵蓋了企業(yè)的獲利目標��。利潤和投入經(jīng)營所必備的財產(chǎn)相關,因為管理人員必須通過投資和現(xiàn)有財產(chǎn)獲得利潤����。)��,Kim(金)說要接受安全是一個成本中心的觀點����,CISO(首席信息安全官)如何隨著時間的推移管理總體擁有成本�����。Oportun(金融服務提供商)的高級副總裁兼首席信息官Tyson Kopczynski(泰森·科普欽斯基)補充道��,這可能包括向首席財務官和首席執(zhí)行官更新具體的成本削減情況,例如減少與安全供應商的支出����,找到一種更便宜的產(chǎn)品來滿足安全需求,或者改進內部指標�����,例如消除漏洞的平均成本��。
Christensen(克里斯坦森)進一步建議闡明安全措施如何可以降低成本或提高生產(chǎn)力���。例如,他說��,網(wǎng)絡應用程序防火墻不僅可以保護應用程序,還可以通過減少虛假和惡意流量來降低網(wǎng)絡成本�����。此外,采用零信任架構和安全訪問服務邊緣技術��,可以讓用戶在VPN(指虛擬專用網(wǎng)絡。功能是:在公用網(wǎng)絡上建立專用網(wǎng)絡��,進行加密通訊���。在企業(yè)網(wǎng)絡中有廣泛應用。VPN網(wǎng)關通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標地址的轉換實現(xiàn)遠程訪問。VPN可通過服務器�、硬件、軟件等多種方式實現(xiàn)�。)出現(xiàn)故障時不用手動部署虛擬專用網(wǎng)絡來訪問資源或中斷會議���,進而有助于提高生產(chǎn)力�����。
Kopczynski(科普欽斯基)補充說,CISO(首席信息安全官) 可以通過以下問題來挖掘這些改進���,比如他們的組織是否正在使用安全工具中的所有功能�����,這些功能是否與其他工具重疊�����,以及該組織是否為許可證或太多許可證支付了多余費用。他說�����,實現(xiàn)價值最大化的方法包括考慮執(zhí)行多種安全功能的工具,或者運行滲透測試�、攻擊模擬或攻擊性安全活動���,以證明工具可以抵御高風險的攻擊��。例如�����,他使用Titaniam(數(shù)據(jù)安全供應商)的加密引擎來支持多個數(shù)據(jù)保護用例,以及亞馬遜和微軟等云提供商提供的安全工具����。他說:“我們還研究了提供多組保護的通用云安全解決方案,而不是解決一個特定的用例。”
首席信息官Rik Wright(里克·賴特)表示��,在全球營銷機構和咨詢公司The Channel Company(植根全球 IT 渠道已逾 40 載�����,是全球 IT 媒體活動����、專業(yè)咨詢���、創(chuàng)新教育及營銷服務平臺的標桿����。),安全考慮深深根植在其商業(yè)戰(zhàn)略和預算中��。這包括需要滿足歐盟的GDPR(General Data Protection Regulation���,《通用數(shù)據(jù)保護條例》��,前身是歐盟在1995年制定的《計算機數(shù)據(jù)保護法》。2018年5月25日����,歐洲聯(lián)盟出臺《通用數(shù)據(jù)保護條例》。1.對違法企業(yè)的罰金最高可達2000萬歐元(約合1.5億元人民幣)或者其全球營業(yè)額的4%���,以高者為準�����。2.網(wǎng)站經(jīng)營者必須事先向客戶說明會自動記錄客戶的搜索和購物記錄�,并獲得用戶的同意,否則按“未告知記錄用戶行為”作違法處理��。3.企業(yè)不能再使用模糊、難以理解的語言��,或冗長的隱私政策來從用戶處獲取數(shù)據(jù)使用許可��。4.明文規(guī)定了用戶的“被遺忘權”(right to be forgotten),即用戶個人可以要求責任方刪除關于自己的數(shù)據(jù)記錄����。)��,以及遵守客戶的安全要求���。
避免威脅也是該公司安全價值等式的一部分����,該公司將GreenPages(托管服務提供商)用于基礎設施和幫助滿足其安全需求。Wright(賴特)說,他看到一些公司在收到勒索軟件攻擊后花費了高達2000萬美元的潛在商業(yè)威脅支出�����,所以他說��,這為預防這種損失的舉動�����,呈現(xiàn)出極為真實的價值����。
二、了解業(yè)務需求
將安全支出與業(yè)務需求相結合����,首先要了解什么對業(yè)務經(jīng)理最重要�。
Kim(金) 建議使用“風險=影響*可能性”公式,并在 1 到 10 的范圍內了解你最重要的流程和資產(chǎn)是什么�����。“你的財務數(shù)據(jù)可能是 10���,但你的人力資源數(shù)據(jù)可能是 7��,因為這不是一個商業(yè)差異�,”他說��,“只需在風險計算中使用一個簡單的評分標準��,就有助于確定優(yōu)先事項?��!?/p>
Christensen(克里斯坦森)說��,除了業(yè)務之外,CISO(首席信息安全官) 還必須咨詢 IT 部門,以了解一種新的安全技術可能帶來的管理負擔��,以及安全工具可以用來實現(xiàn)其價值最大化的所有領域。他使用dope.security的Secure Web Gateway(安全網(wǎng)頁閘道)不僅可以控制訪問�����,還可以了解用戶正在訪問哪些信息和網(wǎng)站����,以及他們給業(yè)務帶來的潛在風險。
行業(yè)標準框架還可以為風險評估提供通用語言和結構���,如 NIST (美國國家標準和技術研究所)的網(wǎng)絡安全框架。Christensen(克里斯坦森)說:“這很簡單,不需要成為一名安全從業(yè)者就可以理解它�����,但它可以模擬你的成熟度�����,并有助于將其與業(yè)務利益相關者聯(lián)系起來。”他補充道,它也基于行業(yè)標準��,而不是CISO(首席信息安全官)的意見�,并不斷更新以反映新的風險�����。
不同的安全框架最適合不同的行業(yè),Pecha(佩查) 說:“如果我在政府任職��,我將與NIST(National Institute of Standards and Technology�����,國內一般叫做“美國國家標準與技術研究院”�����。成立于1901年��,原名美國國家標準局(NBS)����,1988年8月���,經(jīng)美國總統(tǒng)批準改為美國國家標準與技術研究院��,直屬于美國商務部����。NIST 是美國最古老的物理科學研究所之一。美國國會成立該機構旨在提升其工業(yè)競爭力����,當時美國的測量基礎設施處于二流水平,遠遠落后于英國�、德國和其他經(jīng)濟競爭對手��。經(jīng)過一百多年的發(fā)展,NIST 早已成為頂級研究機構�����,在國際上享有很高的聲譽��。NIST 的測量范圍無所不包�����,從智能電網(wǎng)���、電子健康記錄�����,到原子鐘��、先進納米材料和計算機芯片����,無數(shù)的產(chǎn)品和服務中都有NIST所提供的技術����、測量和標準的身影��。NIST 下設 6 大研究所���,從事物理、生物和工程等方面的基礎和應用研究,以及測量技術和測試方法方面的研究�����,對外提供標準����、標準參考數(shù)據(jù)及有關服務��。)保持一致,”他說����,“如果你是一個全球性的企業(yè)�����,請應用 ISO/IEC 27000 (信息安全管理體系)系列標準�。不需要經(jīng)過認證���,而是要遵守并了解控制措施���,以便了解您的合作伙伴和您自己的安全需求���。”
Johns Manville(制造商)的高級安全和網(wǎng)絡工程經(jīng)理Scott Reynolds(斯科特·雷諾茲)使用ISA/IEC 62443(工控信息安全標準��,用于指導系統(tǒng)集成商、產(chǎn)品供應商和服務供應商等對自己的產(chǎn)品和服務進行安全評估�。)標準�,在業(yè)務經(jīng)理、安全專家和供應商之間就共同術語(如共享共同安全需求的資產(chǎn)“zones(區(qū)域)”)達成共識���。他表示:“這一過程還表明��,我們對整個區(qū)域的風險水平達成了一致���,而不僅僅是該區(qū)域的每一項資產(chǎn)����。歐元區(qū)最薄弱的環(huán)節(jié)將影響歐元區(qū)內的所有資產(chǎn)����?��!?/p>
在Avid technology(媒體創(chuàng)作和編輯技術提供商),其CISO(首席信息安全官)和CSO(首席戰(zhàn)略官) Dmitriy Sokolovskiy(德米特里·索科洛夫斯基)使用NIST(美國國家標準與技術研究院)的網(wǎng)絡安全框架來衡量其安全流程的成熟度���,并使用互聯(lián)網(wǎng)安全中心的最高安全控制來制定具體的戰(zhàn)術指導�,他說���,這突出了企業(yè)可以在其基礎設施中輕松解決的唾手可得的成果��。
三��、對基準應用謹慎
一些 CISO(首席信息安全官) 對使用基準來將其安全支出與其他人進行比較持懷疑態(tài)度�����。他們說����,這是因為公司對安全支出的定義可能不同���,或者有不同的需求��。他們還表示�,基準測試通常不會描述組織如何以及為什么分配安全預算��。因此��,他們將基準作為預算編制的粗略指南����,主要依靠自己的風險評估����。
但 Kim(金) 警告 CISO(首席信息安全官) 不要拒絕 C 級的基準測試要求���?�!耙笠粋€基準并非沒有道理,”他說���,“一個首席財務官不能說��,‘我們無法將我們的每股收益與業(yè)內其他公司進行比較���?��!彼f����,提供基準��,但是是作為更廣泛解釋的一部分����,即您的安全支出與其他公司相比如何�����,組織面臨的挑戰(zhàn)�,以及您如何隨著時間的推移降低安全總擁有成本����。
Pecha(佩查) 說:“ISO(首席信息安全官) 應該描述當前的威脅和攻擊”���,并提供補救措施�。他說��,然后由董事會和高管來決定什么是可以接受的,需要做些什么來管理業(yè)務的整體風險�,因為只有他們才有推動變革的影響力。
堅持讓企業(yè)高管通過正式渠道了解商業(yè)風險�,甚至是以書面形式,常常能說服他們同意擬議的安全支出��。當Sokolovskiy(索科洛夫斯基)堅持這樣的批準時�,他說:“到目前為止�,業(yè)務部門實際上是主動要求降低風險的�����。 ”
Christensen(克里斯坦森)說��,以業(yè)務為中心的方法可以激勵安全和業(yè)務團隊努力尋找提高效率和節(jié)省資金的機會����,例如消除冗余的系統(tǒng)和流程�����。通過業(yè)務整合�����,才能找到獨特和創(chuàng)新的方法來解決業(yè)務運營數(shù)字化轉型帶來的問題。
作者:Robert Scheier(羅伯特 ·謝爾)�����,特約撰稿人
