如何度量安全工作的价值?
对于大多数组织来说,网络安全部门一直是成本中心,网络安全支出无法创造收入,很难获得有效支持。《中华人民共和国网络安全法》对于安全团队有了明显的要求,各组织才在组织内部设置了专职的网络安全团队,但很多组织里目前还是“一个人的安全部”。网络安全投资的预期和收益能否通过业务术语表达,并且与于组织的环境、战略和文化的驱动因素相关联?
首先我们得明确一个概念,当下的经济模式到了什么阶段?人们称其为数字经济时代。而数字经济是人类通过大数据的识别、选择、过滤、存储、使用后,通过引导、实现资源的快速优化配置与再生,并同时实现经济高质量发展的经济形态。 因此,这也就告诉了我们,数据在当下的时代里变得尤为重要。
现阶段,数字化的技术、商品与服务不仅在向传统产业进行多方向、多层面与多链条的加速渗透,而且在诸如互联网数据中心建设与服务等数字产业链、产业集群中更是表现出了不断地发展壮大。水涨船高,与此相辅相成的“信息安全”必然也需要依靠数据、指标来进行价值宣传,这不但在汇报上提高了效率,也更能贴合实际,毕竟当所有产业都在转向数字化的时候,数据就是唯一的例证了。
★
关于呈现价值需要注意的地方
★
很多时候安全团队会收集许多数据信息,其目的在于根据事实和分析做出相应的决策,但这就会产生一个收益递减点,比如过多重复或无用的数据。
国外知名安全专家表示:“如果你手上没有数据,那么任何新数据都会极大地扩展你的认知并减少不确定性,然而如果你已经有了大量的数据,那再添加更多的数据并不会带来更大的价值。因此,你得收集有助于做出决策的数据,而不要舍本逐末。”
他还补充道:“如果很多数据不存在,你可以用其他来源对其进行估计。大多时候,我们不需要很多的数据来做出管理决策,比如我们可以测试服务器样本,可以使用 Verizon 违规报告或其他二级资源来获取相关类型、相关事件的数据信息。”
此外,安全团队还该知晓的是,可用的数据离不开能描述其信息性质的分析技术。在信息安全中,以某种形式的矩阵绘制系统或概率影响是很常见的,因为概率乘以影响等于风险,但若没有具体的分析方法,就只是让他呈现出数据,那我们就不知道其事件背后到底代表着什么,就比如当你尝试将两个序数相互比较时,不可能将任意一个概率与任意一个影响联系起来,如果没有具体的分析,这些事情不能也不应该有所关联,这就是分析的重要性了。
安全团队除了要在数据上做好收集和分析外,在大局观上也得有所明确。比如,安全负责人要养成习惯,从客户(包括:内部和外部客户)的角度描述服务领域和元素,而不是提供者。既然是为了体现自身价值就必须得为企业的商业利益所考虑,而其中最直接的部分就是面对客户,因为无论是对企业还是对客户而言,安全都是至关重要的一节,因为谁都不想在毫无安全感的情况下进行商业交易。
再比如网络安全负责人要学会描述每个服务要素的具体价值,使明确的业务价值更倾向于转变为一般性重复的“更好保护”的陈述,在这个阶段,网络安全负责人需要深思熟虑地回答“为什么目标客户需要这个服务?”。这样网络安全负责人才能让企业领导者、让客户对自己独特的行业甚至安全文化产生兴趣。
其余的,包括与业务负责人一起验证风险和安全服务组合、进行价值描述;发布风险和安全服务组合;随着时间的推移跟踪业务变化;确保风险和安全服务组合和价值描述的有效性等都是在彰显价值时必须得掌握的技能。而结合以上这几点的内容,我们不难发现,在大局观确定下来的同时,数据可以充分的在细节上表露出其内涵和趋势,因为业务表现价值的时候正好也体现在数据上,所以以安全相对于业务所设立的框架也因此完美契合。
★
最关键的衡量标准是风险
★
网络安全负责人一直是数字化业务的关键推动者,用知名信息安全专家的话来说,就是“安全负责人有责任帮助组织平衡风险与收益间的关系”。若要将这责任细说,可以具体体现在这么几个点上,比如创建真正的风险和安全服务组合,明确帮助公司或高级管理层实现战略目标或保障其利益;或为风险和安全服务组合中的每项服务制定业务价值声明;再比如与关键业务负责人一起验证风险和安全服务,确保能帮助业务,并制定基于业务,可量化、可衡量的工作目标等,上文中或多或少也有涉及到。
通过以上这几点细分,首先我们可以明确的是,信息安全专业人员的工作就是为了降低风险,归根结底,如果安全团队不能证明他们可以做到降低风险,那就必然体现不了自身的价值,因此第一个比较重要的衡量指标就是风险降低与否。
项目成本与风险下降率之间的关系就是商业价值所在。
但要注意的是,衡量风险是否降低并不是安全指标计划的唯一目标,我们还需要其他方面的辅助,比如程序性能或创建情境意识等。理想状态下,若安全团队能拥有可跟踪“绩效、态势感知和风险”的系统、流程,那么他们就可以追踪重要的数据指标,并可从系统中直接获取经验数据,同时又能对不确定性和边际误差进行推理。这样,他们就可以用“一系列预期风险损失在特定范围内的概率”来表示风险了,这实际上不管是对企业而是个人来说都是很好的选择。
然而,这仍旧是理想状态。现实中我们需要知道的是,历史事件造成的损失固然可以作为一个量化安全风险的价值,但事物是动态变化的,同一个业务类型、同一个漏洞、同一个BUG,在不同组织、不同时间、不同空间、不同状态下的风险和风险损失各异,因此这就需要我们拥抱业务,基于组织的业务战略、业务目标、业务价值,来对网络安全进行定价,这样所总结出来的数据才有足够的意义。
★
国内专家的建议
★
那用数据来呈现安全价值的优势在哪里?用数据体现安全价值时还需要注意什么?而还有什么数据对体现安全价值来说也是很重要的?
安信证券安全总监李维春表示:“用数据来呈现安全价值更客观、更量化,更具有说服力,同时经营者用之衡量投入产出比的话,更好算账、更容易接受。至于需要注意什么,安全团队并不总能找到合适的指标来呈现安全价值,即使找到了,是否有足够客观的数据支撑则是另一个难题。而除了普通风险数据,其他还有几项数据也是很重要的,比如漏洞按期关闭率,这个指标通常容易被经营者理解,业内有句话叫‘不怕有漏洞,就怕不按时修’,因此能否按时修复漏洞便是一个很强的能力;再比如同类风险重复发生率,将重复风险发生控制在一个合理的水平内(或逐年降低),说明安全水平、能力是提升的;除此之外还有业务活动挽回损失金额、每年因信息安全风险给公司造成的损失不超过XX万、被监管或执法机构处罚的安全事件数等数据。”
而对于以上问题,友邦资讯科技安全专家杜建荣一样觉得“用数据来呈现安全价值的优势在于可以把支出与收益量化”。对此,杜老师建议用数据体现安全价值时要注意数据需的简练、精准,并尽可能的靠近业务,尽量量化成可以与营收相关的陈列,而不是只列支出不列收益。而对于何种数据会比较重要,杜老师认为比如节省多少人力成本的数据,节省多少备份/IT设备支出或重新采购的数据,同类型公司/同行受到攻击以后支出的对比数据,如果受到攻击后需要支付多少公关成本,会损失多少潜在客户等这些会很重要。
★
数据对企业本身的意义
★
除此之外,随着数字化业务在组织运营和客户服务过程中的不断深入,大部分企业正在探索如何变革原有的风险管理策略,比如不要关注于风险(抑制创新)而忽视机会(实现创新)。数字化业务需要使用新的安全方法来实现数字化业务的价值。AI、大数据、IoT、区块链等新技术的应用一方面帮助公司加强组织的能力,但又增加了许多攻击面,存在难以预料的网络安全风险。而这些网络安全风险同样存在诸多的数据和指标,一样可用来说明具体的形势和导向。
而让所有人都不能忽视的是,数据安全风险始终直接关乎着企业业务风险。可以说,一旦企业遭受数据泄密,其整体业务势必遭受影响,包括业务开展、经济损失(包括罚款、事件响应及修复成本、业务中断损失、客户补偿等)和企业名誉损失等。
或者我们把高度再抬得高一点。数据作为数字技术的关键要素,全球数据爆发增长,海量集聚,成为实现创新发展、重塑人们生活的重要力量,事关各国安全与经济社会发展;数据意义也因此从原先虚拟的字节符号成为了如今核心的“生产要素”和“数字黄金”,已然颠覆着我们的社会生活,商业、产业模式正如期改写着城市、乃至地球的未来。
这些内容,包括围绕他们而生的诸多指标和数据能否成为安全团队的依据?诸多仍抱着侥幸心理的企业是否还在独断专行?那你们就只能祈祷数据安全的灾难不要落在自己头上了吧。
★
最后仍为业务
★
最后再强调一遍吧。务必将网络安全转向价值实现,要以严谨的视角基于业务导向,平衡成本收益,以此来定义网络安全的价值。这对于帮助董事会和高级管理层基于风险思考、改善网络安全投入的决策并发展重视网络安全的文化来说都极其重要。
实施基于业务的安全战略,提供风险和安全服务组合的效能,需要业务、安全和IT之间的紧密合作。这使得能够以合适的质量和成本水平提供满足业务需求的定性和定量结果。风险和安全服务组合上由使用人进行价值定义。这其中所囊括的诸多数据和性质,就需要安全团队不断为了业务去做收集和总结。
安全管理人员切不可只专注于自己的活动或行为了,而是该与业务部门、业务负责人之间开展起合作关系,解决业务部门的痛点从而获得价值。因此,与业务人员或安全服务使用者之间产生共鸣就是你们当下需要立刻实施的行为。
Why metrics are crucial to proving cybersecurity programs’ value
齐心抗疫 与你同在
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩
- Key Attestation 密钥认证流程和绕过思路
- 观安信息完成近3亿元融资,由国鑫创投和国开制造业转型升级基金共同领投
- 弃用!Github 上用了 Git.io 缩址服务的都注意了
- 五眼联盟宣称俄罗斯政府将带来更多恶意网络活动
- 砸入近 30 亿美元后,马斯克拒绝加入 Twitter 董事会!
- 喜报!又拍云入选 SegmentFault 思否 2021 年度技术团队
- Apple 首次发布 QuickTime;英特尔开发 ASCI Red | 历史上的今天
- 腾讯起诉网站买卖微信号获赔109万;百度贴吧五年内流失九成用户;苹果计划明年推出挖孔屏iPhone|极客头条
- 深圳光明区政府、深圳湾实验室与华为签署两项战略协议
- 在看 | 一周网安回顾(2021.2.27—3.5)
- 怎样防止电子邮件信息泄露?电子邮件证书是什么?
- 非盈利网站有必要安装HTTPS证书吗?