編者薦語(yǔ):
管控對(duì)業(yè)務(wù)最重要的應(yīng)用程序�、數(shù)據(jù)和流程可以降低風(fēng)險(xiǎn)并節(jié)省資金���。以業(yè)務(wù)為中心的方法可以激勵(lì)安全和業(yè)務(wù)團(tuán)隊(duì)努力尋找提高效率和節(jié)省資金的機(jī)會(huì)�,例如消除冗余的系統(tǒng)和流程����。建議使用“風(fēng)險(xiǎn)=影響X可能性”公式,在 1 到 10 的范圍內(nèi)評(píng)估流程和資產(chǎn)�。
資料來(lái)源:猴子的商業(yè)形象
圖源:MONKEY BUSINESS IMAGES(圖片上傳者,可以譯為用戶MONKEY BUSINESS IMAGES��,或者M(jìn)ONKEY BUSINESS IMAGES) / SHUTTERSTOCK
Gartner(高德納�,Gartner Group公司成立于1979年,它是第一家信息技術(shù)研究和分析的公司�。它為有需要的技術(shù)用戶來(lái)提供專門的服務(wù)。Gartner已經(jīng)成為了一家獨(dú)立的咨詢公司��,Gartner公司的服務(wù)主要是迎合中型公司的需要�,它希望使自己的業(yè)務(wù)覆蓋到IT行業(yè)的所有領(lǐng)域����,從而讓自己成為每一位用戶的一站式信息技術(shù)服務(wù)公司�。)預(yù)計(jì),今年企業(yè)在信息安全和風(fēng)險(xiǎn)管理產(chǎn)品和服務(wù)上的支出將增長(zhǎng) 11.3%�,達(dá)到超過(guò) 1883 億美元之巨。盡管投入巨大����,但已經(jīng)至少發(fā)生 13 起重大數(shù)據(jù)泄露事件,包括Apple(Apple Inc.�����,蘋(píng)果公司���,是美國(guó)高科技公司����。2021財(cái)年蘋(píng)果營(yíng)收達(dá)到3658億美元��,由史蒂夫·喬布斯���、斯蒂夫·蓋瑞·沃茲尼亞克和羅納德·杰拉爾德·韋恩等人于1976年4月1日創(chuàng)立�,并命名為美國(guó)蘋(píng)果電腦公司��,Apple Computer Inc.�,2007年1月9日更名為蘋(píng)果公司,總部位于加利福尼亞州的庫(kù)比蒂諾�����。)�����、Meta(Meta Platform Inc��,美國(guó)互聯(lián)網(wǎng)公司��,原名Facebook�,創(chuàng)立于2004年2月4日,總部位于美國(guó)加利福尼亞州門洛帕克�����?���!癕eta”�,來(lái)源于“元宇宙”�,Metaverse,意思是包涵萬(wàn)物無(wú)所不聯(lián)�����。Facebook堅(jiān)定地希望甩掉問(wèn)世以來(lái)就牢牢被貼在身上的標(biāo)簽——社交媒體��,要跳出發(fā)家領(lǐng)域社交媒體的“舒適圈”�����,著力開(kāi)拓元宇宙e�����。) 和Twitter(推特�����,是一家美國(guó)社交網(wǎng)絡(luò)及微博客服務(wù)的公司�,致力于服務(wù)公眾對(duì)話)。
為了更好地專注于安全支出�����,一些chief information security officers (CISOs�����,首席信息安全官) 正在將其安全風(fēng)險(xiǎn)評(píng)估從 IT 系統(tǒng)轉(zhuǎn)移到保障業(yè)務(wù)運(yùn)行的數(shù)據(jù)�����、應(yīng)用程序和流程上去�����。
“如果你從純粹的技術(shù)角度來(lái)看安全性�,你很容易陷入‘我關(guān)注這個(gè)熱點(diǎn),因?yàn)槠渌艘碴P(guān)注’的境地”�,福利管理軟件提供商PlanSource(福利管理軟件提供商)的副總裁兼CISO(首席信息安全官) David Christensen(大衛(wèi) ·克里斯坦森)表示,“事實(shí)往往是�����,最流行或最知名的新安全解決方更可能浪費(fèi)資金�����,拖緩業(yè)務(wù)發(fā)展,尤其是當(dāng)它與業(yè)務(wù)目標(biāo)不一致的情況下�。即使它有助于保護(hù)一部分業(yè)務(wù),也可能不是業(yè)務(wù)或業(yè)務(wù)流程中造成最大風(fēng)險(xiǎn)或最重要的部分����。”
FNTS(托管服務(wù)提供商)的CISO(首席信息安全官) Don Pecha(唐·佩查)對(duì)此表示贊同�����,并補(bǔ)充道:“公司的每個(gè)業(yè)務(wù)單位可能有獨(dú)特的考慮因素�����,和獨(dú)特的合規(guī)����、監(jiān)管或隱私應(yīng)用程序,每一項(xiàng)業(yè)務(wù)都可能有獨(dú)特的風(fēng)險(xiǎn)供董事會(huì)或高管需要考慮��?����!?/span>
YL Ventures(風(fēng)險(xiǎn)投資公司)的常駐CISO(首席信息安全官)���、SANS Institute(美國(guó)系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(huì)���,成立于1989年,是一個(gè)合作研究和教育組織���。其項(xiàng)目目前已覆蓋全球165000多名安全專業(yè)人員�����。從審計(jì)員�、網(wǎng)絡(luò)管理員到首席信息安全官��,一系列人都在分享他們所學(xué)到的教訓(xùn)����,并共同尋找應(yīng)對(duì)他們所面臨挑戰(zhàn)的解決方案。SANS的核心是從公司到大學(xué)的各種全球組織中的許多安全從業(yè)者��,他們共同幫助整個(gè)信息安全社區(qū)�。)成員Frank Kim(弗蘭克·金)引用了一名CISO(首席信息安全官)的案例,該CISO因提出昂貴的終點(diǎn)檢測(cè)���、響應(yīng)和事件響應(yīng)計(jì)劃而被解雇�����,這些計(jì)劃被認(rèn)為不適合此類初創(chuàng)公司���。“我們的重點(diǎn)是生存和收入增長(zhǎng)����,”Kim(金)說(shuō)���?���!八麤](méi)有意識(shí)到自己的工作不僅僅是提出一系列新的安全功能�,還有業(yè)務(wù)支持?���!?/span>
一、價(jià)值的新定義
調(diào)整安全與業(yè)務(wù)超出了證明安全支出的合理性的傳統(tǒng)做法��,比如警告黑客攻擊的后果或試圖證明ROI(投資回報(bào)率���,是指通過(guò)投資而應(yīng)返回的價(jià)值���,即企業(yè)從一項(xiàng)投資活動(dòng)中得到的經(jīng)濟(jì)回報(bào)��。它涵蓋了企業(yè)的獲利目標(biāo)�����。利潤(rùn)和投入經(jīng)營(yíng)所必備的財(cái)產(chǎn)相關(guān)��,因?yàn)楣芾砣藛T必須通過(guò)投資和現(xiàn)有財(cái)產(chǎn)獲得利潤(rùn)。)��,Kim(金)說(shuō)要接受安全是一個(gè)成本中心的觀點(diǎn)�,CISO(首席信息安全官)如何隨著時(shí)間的推移管理總體擁有成本。Oportun(金融服務(wù)提供商)的高級(jí)副總裁兼首席信息官Tyson Kopczynski(泰森·科普欽斯基)補(bǔ)充道����,這可能包括向首席財(cái)務(wù)官和首席執(zhí)行官更新具體的成本削減情況,例如減少與安全供應(yīng)商的支出��,找到一種更便宜的產(chǎn)品來(lái)滿足安全需求����,或者改進(jìn)內(nèi)部指標(biāo),例如消除漏洞的平均成本����。
Christensen(克里斯坦森)進(jìn)一步建議闡明安全措施如何可以降低成本或提高生產(chǎn)力���。例如,他說(shuō)�����,網(wǎng)絡(luò)應(yīng)用程序防火墻不僅可以保護(hù)應(yīng)用程序���,還可以通過(guò)減少虛假和惡意流量來(lái)降低網(wǎng)絡(luò)成本��。此外���,采用零信任架構(gòu)和安全訪問(wèn)服務(wù)邊緣技術(shù),可以讓用戶在VPN(指虛擬專用網(wǎng)絡(luò)��。功能是:在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)���,進(jìn)行加密通訊����。在企業(yè)網(wǎng)絡(luò)中有廣泛應(yīng)用�����。VPN網(wǎng)關(guān)通過(guò)對(duì)數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)。VPN可通過(guò)服務(wù)器��、硬件�、軟件等多種方式實(shí)現(xiàn)。)出現(xiàn)故障時(shí)不用手動(dòng)部署虛擬專用網(wǎng)絡(luò)來(lái)訪問(wèn)資源或中斷會(huì)議�����,進(jìn)而有助于提高生產(chǎn)力�。
Kopczynski(科普欽斯基)補(bǔ)充說(shuō)����,CISO(首席信息安全官) 可以通過(guò)以下問(wèn)題來(lái)挖掘這些改進(jìn),比如他們的組織是否正在使用安全工具中的所有功能�����,這些功能是否與其他工具重疊�,以及該組織是否為許可證或太多許可證支付了多余費(fèi)用。他說(shuō)��,實(shí)現(xiàn)價(jià)值最大化的方法包括考慮執(zhí)行多種安全功能的工具�,或者運(yùn)行滲透測(cè)試�、攻擊模擬或攻擊性安全活動(dòng)�����,以證明工具可以抵御高風(fēng)險(xiǎn)的攻擊���。例如��,他使用Titaniam(數(shù)據(jù)安全供應(yīng)商)的加密引擎來(lái)支持多個(gè)數(shù)據(jù)保護(hù)用例��,以及亞馬遜和微軟等云提供商提供的安全工具��。他說(shuō):“我們還研究了提供多組保護(hù)的通用云安全解決方案����,而不是解決一個(gè)特定的用例���。”
首席信息官Rik Wright(里克·賴特)表示�����,在全球營(yíng)銷機(jī)構(gòu)和咨詢公司The Channel Company(植根全球 IT 渠道已逾 40 載���,是全球 IT 媒體活動(dòng)����、專業(yè)咨詢����、創(chuàng)新教育及營(yíng)銷服務(wù)平臺(tái)的標(biāo)桿。)�,安全考慮深深根植在其商業(yè)戰(zhàn)略和預(yù)算中。這包括需要滿足歐盟的GDPR(General Data Protection Regulation���,《通用數(shù)據(jù)保護(hù)條例》��,前身是歐盟在1995年制定的《計(jì)算機(jī)數(shù)據(jù)保護(hù)法》����。2018年5月25日�����,歐洲聯(lián)盟出臺(tái)《通用數(shù)據(jù)保護(hù)條例》���。1.對(duì)違法企業(yè)的罰金最高可達(dá)2000萬(wàn)歐元(約合1.5億元人民幣)或者其全球營(yíng)業(yè)額的4%,以高者為準(zhǔn)。2.網(wǎng)站經(jīng)營(yíng)者必須事先向客戶說(shuō)明會(huì)自動(dòng)記錄客戶的搜索和購(gòu)物記錄�,并獲得用戶的同意,否則按“未告知記錄用戶行為”作違法處理��。3.企業(yè)不能再使用模糊�、難以理解的語(yǔ)言,或冗長(zhǎng)的隱私政策來(lái)從用戶處獲取數(shù)據(jù)使用許可�����。4.明文規(guī)定了用戶的“被遺忘權(quán)”(right to be forgotten)�,即用戶個(gè)人可以要求責(zé)任方刪除關(guān)于自己的數(shù)據(jù)記錄。)���,以及遵守客戶的安全要求����。
避免威脅也是該公司安全價(jià)值等式的一部分�����,該公司將GreenPages(托管服務(wù)提供商)用于基礎(chǔ)設(shè)施和幫助滿足其安全需求��。Wright(賴特)說(shuō)�,他看到一些公司在收到勒索軟件攻擊后花費(fèi)了高達(dá)2000萬(wàn)美元的潛在商業(yè)威脅支出���,所以他說(shuō),這為預(yù)防這種損失的舉動(dòng)�����,呈現(xiàn)出極為真實(shí)的價(jià)值�����。
二�����、了解業(yè)務(wù)需求
將安全支出與業(yè)務(wù)需求相結(jié)合�,首先要了解什么對(duì)業(yè)務(wù)經(jīng)理最重要。
Kim(金) 建議使用“風(fēng)險(xiǎn)=影響*可能性”公式�����,并在 1 到 10 的范圍內(nèi)了解你最重要的流程和資產(chǎn)是什么���。“你的財(cái)務(wù)數(shù)據(jù)可能是 10,但你的人力資源數(shù)據(jù)可能是 7�,因?yàn)檫@不是一個(gè)商業(yè)差異,”他說(shuō),“只需在風(fēng)險(xiǎn)計(jì)算中使用一個(gè)簡(jiǎn)單的評(píng)分標(biāo)準(zhǔn)��,就有助于確定優(yōu)先事項(xiàng)�����?�!?/p>
Christensen(克里斯坦森)說(shuō)����,除了業(yè)務(wù)之外,CISO(首席信息安全官) 還必須咨詢 IT 部門�����,以了解一種新的安全技術(shù)可能帶來(lái)的管理負(fù)擔(dān)���,以及安全工具可以用來(lái)實(shí)現(xiàn)其價(jià)值最大化的所有領(lǐng)域��。他使用dope.security的Secure Web Gateway(安全網(wǎng)頁(yè)閘道)不僅可以控制訪問(wèn)�,還可以了解用戶正在訪問(wèn)哪些信息和網(wǎng)站��,以及他們給業(yè)務(wù)帶來(lái)的潛在風(fēng)險(xiǎn)��。
行業(yè)標(biāo)準(zhǔn)框架還可以為風(fēng)險(xiǎn)評(píng)估提供通用語(yǔ)言和結(jié)構(gòu),如 NIST (美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所)的網(wǎng)絡(luò)安全框架��。Christensen(克里斯坦森)說(shuō):“這很簡(jiǎn)單�����,不需要成為一名安全從業(yè)者就可以理解它���,但它可以模擬你的成熟度����,并有助于將其與業(yè)務(wù)利益相關(guān)者聯(lián)系起來(lái)��?���!彼a(bǔ)充道,它也基于行業(yè)標(biāo)準(zhǔn)����,而不是CISO(首席信息安全官)的意見(jiàn),并不斷更新以反映新的風(fēng)險(xiǎn)��。
不同的安全框架最適合不同的行業(yè)����,Pecha(佩查) 說(shuō):“如果我在政府任職,我將與NIST(National Institute of Standards and Technology�����,國(guó)內(nèi)一般叫做“美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院”����。成立于1901年,原名美國(guó)國(guó)家標(biāo)準(zhǔn)局(NBS)�,1988年8月,經(jīng)美國(guó)總統(tǒng)批準(zhǔn)改為美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院��,直屬于美國(guó)商務(wù)部���。NIST 是美國(guó)最古老的物理科學(xué)研究所之一�����。美國(guó)國(guó)會(huì)成立該機(jī)構(gòu)旨在提升其工業(yè)競(jìng)爭(zhēng)力����,當(dāng)時(shí)美國(guó)的測(cè)量基礎(chǔ)設(shè)施處于二流水平��,遠(yuǎn)遠(yuǎn)落后于英國(guó)、德國(guó)和其他經(jīng)濟(jì)競(jìng)爭(zhēng)對(duì)手����。經(jīng)過(guò)一百多年的發(fā)展,NIST 早已成為頂級(jí)研究機(jī)構(gòu)����,在國(guó)際上享有很高的聲譽(yù)。NIST 的測(cè)量范圍無(wú)所不包����,從智能電網(wǎng)、電子健康記錄�����,到原子鐘���、先進(jìn)納米材料和計(jì)算機(jī)芯片�����,無(wú)數(shù)的產(chǎn)品和服務(wù)中都有NIST所提供的技術(shù)���、測(cè)量和標(biāo)準(zhǔn)的身影���。NIST 下設(shè) 6 大研究所,從事物理���、生物和工程等方面的基礎(chǔ)和應(yīng)用研究,以及測(cè)量技術(shù)和測(cè)試方法方面的研究����,對(duì)外提供標(biāo)準(zhǔn)、標(biāo)準(zhǔn)參考數(shù)據(jù)及有關(guān)服務(wù)���。)保持一致�����,”他說(shuō)��,“如果你是一個(gè)全球性的企業(yè)�����,請(qǐng)應(yīng)用 ISO/IEC 27000 (信息安全管理體系)系列標(biāo)準(zhǔn)��。不需要經(jīng)過(guò)認(rèn)證��,而是要遵守并了解控制措施�����,以便了解您的合作伙伴和您自己的安全需求�����?�!?/p>
Johns Manville(制造商)的高級(jí)安全和網(wǎng)絡(luò)工程經(jīng)理Scott Reynolds(斯科特·雷諾茲)使用ISA/IEC 62443(工控信息安全標(biāo)準(zhǔn)����,用于指導(dǎo)系統(tǒng)集成商、產(chǎn)品供應(yīng)商和服務(wù)供應(yīng)商等對(duì)自己的產(chǎn)品和服務(wù)進(jìn)行安全評(píng)估����。)標(biāo)準(zhǔn),在業(yè)務(wù)經(jīng)理��、安全專家和供應(yīng)商之間就共同術(shù)語(yǔ)(如共享共同安全需求的資產(chǎn)“zones(區(qū)域)”)達(dá)成共識(shí)�����。他表示:“這一過(guò)程還表明,我們對(duì)整個(gè)區(qū)域的風(fēng)險(xiǎn)水平達(dá)成了一致��,而不僅僅是該區(qū)域的每一項(xiàng)資產(chǎn)���。歐元區(qū)最薄弱的環(huán)節(jié)將影響歐元區(qū)內(nèi)的所有資產(chǎn)�����?����!?/p>
在Avid technology(媒體創(chuàng)作和編輯技術(shù)提供商),其CISO(首席信息安全官)和CSO(首席戰(zhàn)略官) Dmitriy Sokolovskiy(德米特里·索科洛夫斯基)使用NIST(美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院)的網(wǎng)絡(luò)安全框架來(lái)衡量其安全流程的成熟度�����,并使用互聯(lián)網(wǎng)安全中心的最高安全控制來(lái)制定具體的戰(zhàn)術(shù)指導(dǎo)�,他說(shuō),這突出了企業(yè)可以在其基礎(chǔ)設(shè)施中輕松解決的唾手可得的成果�。
三、對(duì)基準(zhǔn)應(yīng)用謹(jǐn)慎
一些 CISO(首席信息安全官) 對(duì)使用基準(zhǔn)來(lái)將其安全支出與其他人進(jìn)行比較持懷疑態(tài)度�����。他們說(shuō),這是因?yàn)楣緦?duì)安全支出的定義可能不同�,或者有不同的需求。他們還表示����,基準(zhǔn)測(cè)試通常不會(huì)描述組織如何以及為什么分配安全預(yù)算。因此��,他們將基準(zhǔn)作為預(yù)算編制的粗略指南����,主要依靠自己的風(fēng)險(xiǎn)評(píng)估。
但 Kim(金) 警告 CISO(首席信息安全官) 不要拒絕 C 級(jí)的基準(zhǔn)測(cè)試要求�。“要求一個(gè)基準(zhǔn)并非沒(méi)有道理����,”他說(shuō),“一個(gè)首席財(cái)務(wù)官不能說(shuō)����,‘我們無(wú)法將我們的每股收益與業(yè)內(nèi)其他公司進(jìn)行比較?����!彼f(shuō),提供基準(zhǔn)���,但是是作為更廣泛解釋的一部分����,即您的安全支出與其他公司相比如何��,組織面臨的挑戰(zhàn)���,以及您如何隨著時(shí)間的推移降低安全總擁有成本����。
Pecha(佩查) 說(shuō):“ISO(首席信息安全官) 應(yīng)該描述當(dāng)前的威脅和攻擊”�����,并提供補(bǔ)救措施�����。他說(shuō)�,然后由董事會(huì)和高管來(lái)決定什么是可以接受的��,需要做些什么來(lái)管理業(yè)務(wù)的整體風(fēng)險(xiǎn),因?yàn)橹挥兴麄儾庞型苿?dòng)變革的影響力���。
堅(jiān)持讓企業(yè)高管通過(guò)正式渠道了解商業(yè)風(fēng)險(xiǎn)����,甚至是以書(shū)面形式��,常常能說(shuō)服他們同意擬議的安全支出�。當(dāng)Sokolovskiy(索科洛夫斯基)堅(jiān)持這樣的批準(zhǔn)時(shí),他說(shuō):“到目前為止���,業(yè)務(wù)部門實(shí)際上是主動(dòng)要求降低風(fēng)險(xiǎn)的���。 ”
Christensen(克里斯坦森)說(shuō),以業(yè)務(wù)為中心的方法可以激勵(lì)安全和業(yè)務(wù)團(tuán)隊(duì)努力尋找提高效率和節(jié)省資金的機(jī)會(huì)�����,例如消除冗余的系統(tǒng)和流程����。通過(guò)業(yè)務(wù)整合,才能找到獨(dú)特和創(chuàng)新的方法來(lái)解決業(yè)務(wù)運(yùn)營(yíng)數(shù)字化轉(zhuǎn)型帶來(lái)的問(wèn)題���。
作者:Robert Scheier(羅伯特 ·謝爾)����,特約撰稿人
