做为一名拥有超过15年工作经验的安全从业者,不知道各位网络安全人员如何进行年终总结,体现团队、个人对部门、组织、社会的价值。每当在年终总结会上看到市场部门、业务部门、财务部门以定量、定性结合的方式展现其工作,我就会感到困惑。因为,清楚地阐明网络安全的商业价值一直是网络安全人员面临的主要障碍。网络安全的工作成果是否有办法经合业务工作量化,而不是在年终总结中罗列工作内容,进行定性描述。
对于大多数组织来说,网络安全部门一直是成本中心,网络安全支出无法创造收入,很难获得有效支持。《中华人民共和国网络安全法》对于安全人员有了明显的要求,各组织才在组织内部设置了专职的网络安全人员,但很多组织里目前还是“一个人的安全部”。网络安全投资的预期和收益能否通过业务术语表达,并且与于组织的环境、战略和文化的驱动因素相关联?
我一直致力于跨部门合作,并尝试通过金融风险管理方式量化展现网络安全的工作价值。但一直存在瓶颈,网络安全工作的价值到底怎么算?历史事件造成的损失固然可以作为一个量化安全风险的价值,但事物是动态变化的,同一个业务类型、同一个漏洞、同一个BUG,在不同组织、不同时间、不同空间、不同状态下的风险和风险损失各异,这需要我们拥抱业务,基于组织的业务战略、业务目标、业务价值,对网络安全进行定价。
网络安全负责人一直是数字化业务的关键推动者,我们有责任帮助组织平衡风险与收益间的关系。网络安全法、等保2.0等不断变化的监管要求,以及来自网络空间的各种威胁,进一步要求提升网络安全能力,以维护和支持业务目标,保障组织健康发展。
机遇与挑战
在许多组织中,管理层中的大多数人认为网络安全风险是技术问题,由技术人员处理就可以了。管理层最关注的是业务安全风险,组织生存下去有什么风险。
同时,网络安全风险和网络安全需求难以证明或难以改善组织的业务能力。
网络安全人员使用的语言难以与业务人员或安全服务使用者产生共鸣。
很少有组织拥有风险和安全服务能力。大多数组织无法量化其网络安全服务的能力水平,无法以业务术语来描述网络安全对于业务的贡献。
除去法律、法规的合规支出,组织管理层要求以业务术语表达网络安全支出带来的收益,这才是组织管理层能快速理解的内容。
网络安全管理团队是否有办法展现网络安全的实际效益?
随着数字化业务在组织运营和客户服务过程中的不断深入,组织正在探索如何变革原有的风险管理策略,不要关注于风险(抑制创新)而忽视机会(实现创新)。数字化业务需要使用新的安全方法来实现数字化业务的价值。
AI、大数据、IoT、区块链等新技术的应用一方面帮助公司加强组织的能力,但又增加了许多攻击面,存在难以预料的网络安全风险。
思路
创建真正的风险和安全服务组合,明确帮助公司或高级管理层实现战略目标或保障其利益。
为风险和安全服务组合中的每项服务制定业务价值声明。
与关键业务负责人一起验证风险和安全服务,确保能帮助业务。
制定基于业务,可量化、可衡量的工作目标。
实施组织的安全治理,这是网络安全管理的核心要素。
通过专注于维护资产安全和实现业务目标间的平衡,支持新技术,例如:AI、大数据、IoT、区块链。
(C=Confidentiality,I=Integrity,A=Availability,P=Privacy,S=Safety,R=Reliability)
图-1
可以参考Gartner的CARTA来制定安全风险管理战略,保护组织的信息和技术资源(参见:图-1)。这些通常包括集成风险管理、网络安全、信息和数据安全以及业务连续性管理(BCM)。保证网络安全相关基础工作有序开展,完成网络安全基础工作,才能转向业务安全的价值实现。
方法
将网络安全转向价值实现,要以严谨的视角基于业务导向,平衡成本收益,来定义网络安全的价值。这对于帮助董事会和高级管理层基于风险思考,改善网络安全投入的决策并发展重视网络安全的文化极其重要。
实施基于业务的安全战略,提供风险和安全服务组合的效能,需要业务、安全和IT之间的紧密合作。这使得能够以合适的质量和成本水平提供满足业务需求的定性和定量结果。风险和安全服务组合上由使用人进行价值定义。
确认风险和安全服务的业务价值,首先要定义这些服务。我们通过创建风险和安全服务组合来实现这一目标。其次是为组合中的每项服务制定至少一个商业价值声明。只有这样,风险和安全服务的业务贡献和要求才会变得清晰,安全团队将能够实现提供业务相关性能所必需的变更。
我们将保护水平协议(PLA,protection level agreements)定义为定义成本的所需保护水平(级别),以满足业务目标。PLA类似于服务水平协议(SLA),它们通常被称为服务管理中的服务包。
大部分安全管理人员只专注于自己的活动或行动,而不是与业务负责人合作,解决其痛点从而获得价值。因此,不会与业务人员或安全服务使用者产生共鸣。
如何产生共鸣?在最简单的层面,价值陈述回答以下问题:
为什么业务团队需要网络安全服务?
使用网络安全服务会产生什么好处?
我们是否理解业务,在业务流程中如何帮助业务?
以下是风险和安全服务组合的示例:
表-1
以下是密码修改的业务流程图和对应的风险和安全服务组合示例:
图-2
表-2
价值描述要只限于服务的主要安全贡献,并确保重点是价值,而不是无休止的进行服务描述。
图-3
图-4
同时,做好安全运营过程中的事件分析,关键是和业务部门、风险管理部门一起基于业务场景做好事件和损失分析(见上图)。上线前发现的安全问题,可以和历史安全事件结合,证明帮助业务和组织减少的潜在损失。如果有涉及法律、法规的内容,可以和法务团队一起,证明这部分工作帮助公司减少的行政和行事处罚。网络安全负责人需要获得能够引起业务负责人共鸣的价值陈述。至少要进行以下工作:
1.安全负责人养成习惯,从客户(包括:内部和外部客户)的角度描述服务领域和元素,而不是提供者。
2.网络安全负责人开始描述每个服务要素的具体价值,但明确的业务价值将倾向于转变为一般性重复的“更好的保护”陈述,在这个阶段,需要深思熟虑地回答,“为什么目标客户需要这个服务?”,使网络安全负责人最终能够了解企业领导者对自己独特的行业和文化感兴趣的核心。
3.与业务负责人一起验证风险和安全服务组合和价值描述。
4.发布风险和安全服务组合。
5.应该随着时间的推移跟踪业务变化。确保风险和安全服务组合和价值描述的有效性。
在年终总结时,将上述风险和安全服务项的服务情况以量化图表的方式进行展现,向董事会、高级管理层呈现网络安全的价值,证明我们确实“值钱”。以上是我工作中的经验总结,希望能帮助大家体现自身价值。
参考资料
《Information Security Management Program Primer for 2019》,Earl Perkins, Jeffrey Wheatman,2019年1月
作者:
某跨国企业
网络空间安全和合规负责人
历任多家金融机构、世界 500 强企业的安全负责人、安全专家,民革党员。16 年资深科技风险、信息安全、业务安全经验。
本文来源: 安在
<!– 多条广告如下脚本只需引入一次 –>
版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/3289.html
