CISO如何证明安全的业务价值
作者:星期三, 二月 20, 20190

CISO必须以切实的金额清晰呈现其业务价值。

如果你是CISO或者其他层级的信息安全官,下面的工作描述听起来可能你会认同:

我的工作是管理信息安全以保证企业安全。

而你的成功指标,也就是你用以让公司其他人明白你价值的东西,可能与维护和改善技术层面的安全有关,比如修复的漏洞或达成的 NIST CSF 成熟度等级。

然而,以上说法仅对了一部分。事实上,与公司里其他人的工作一样,信息安全官的工作不仅仅在于防护公司,而在于让公司在可接受的风险水平上高效赚钱。

为取得职业上的真正成功,CISO必须以具体金钱数额的形式向公司证明自己的价值。也就是说,CISO要将自己的标签从?#30333;?#23567;化威胁和漏洞?#20445;?#36716;变到包含进“提供业务支持选项”上,即:安全投资水平和相应风险之间的权衡要清晰地表达出来,以便做出明智的商业决策。

CISO需关注公司的战略目标,重视支持首要业务职能的人员、技术及过程,要将技术层面上的安全纳入整体考虑。以风险等级为例。大多数风险登记是以分类账的形式执行的,在一个地方记录控制缺陷、审?#21697;?#29616;和策略例外,或者仅仅简单分类可能留有隐患的一些事务,比如“迁移到云端”。

这些条目可能就靠分析师的直觉分类为高-中-低级风险(很有可能就是中级),或者干脆不加区?#20540;?#28151;在一?#36873;?#26080;论如何,都没将这些“风险”与潜在经济损失之类公司关心的东西联系起来。

人力资源与薪资服务公司ADP在这方面做得更好些,该公司是当今最佳网络风?#31449;?#29702;人之一,拥有2套风险注册管理规则。其首席安全顾问 Marta Palanques 在2017年的FAIR大会上这么说道:

1. 每个条目都必须与IT资产相关,该IT资产又必须与产品线相关。例如,风险可能是数据?#34892;?#21463;损——服务器掉线,而这些服务器上托管着负责产品运营的应用——产品是要为公司带来盈利的。

2. 每个条目都必须根据FAIR(信息风险因素分析)模?#25237;?#20041;成“损失?#24405;保?#23545;网络风险进行量化,以具体金额的形式列出威胁的潜在频率与影响(例如数据?#34892;?#23445;机造成的营业额损失)。

ADP这样的风险登记清晰展现了网络安全的商业价值,阐明了量化才是重点。有了对损失?#24405;?#30340;金额估算,CISO还能根据潜在损失的相对范围确定出首要风险列表,例如,比较应用下线和与该应用相关的客户信息泄?#31471;?#33268;损失的大小,然后取舍平衡。

取舍平衡过程?#34892;?#35201;考虑缓解措施投资的回报。这一步中,风险分析师可以再次利用FAIR模型,在给定的风险分析中调整输入,观察可选情况。例如,实现双因?#30001;?#20221;验证是否能将潜在损失减少到值回投资的程度?

接下来风险分析师可以审查实际的损失暴露面是否随时间减小。他们可以识别出最能影响潜在损失的顶级风险的相关变量,跟踪并定期报告这些关键风险指标。

网络安全价值主张的终极呈现,在CISO将网络风险量化工作完全集成进公司风险管理项目中,当他们能与市场风险和金融风险的守护者在同等条件下讨论网络安全如何促进公司价值增值的时候,就自然显现出来了。或许目标略?#27934;螅?#20294;只要确实迈出第一步,在FAIR这种标准风险量化模型的基础上有条不紊地衡量网络风险,CISO的价值终将得到公司承认。

相关阅读

CISO如何通过安全路线图说服高管

CISO们:欢迎进入网络风?#31449;?#27982;时代!

网络风险=业务风险 “基于业务的CISO”时代正在到来!

 

分享:
0

相关文章

写一条评论

 

 

0条评论