自2021年6月起，安在征文全新“改版”——“诸子笔会，打卡征文”。简单来说，我们在诸子云社群招募“志愿者”，组成“笔友群”，自拟每月主题，互相督促彼此激励，完成每月一篇原创，在诸子云知识星球做主题相关每日打卡，同时邀请专业作者群内分享，互通交流。我们的目标，不仅是在持续8个月时间里，赢取累计8.8万的高额奖金，更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文，即诸子笔会月度主题来稿之一。

如何体现安全团队的价值

文 | 赵锐

赵锐

某跨国企业

网络空间安全和合规负责人

安全团队擅长分析网络安全风险并通过技术语言向大家体现安全风险，除了法律、合规要求以外，安全团队很难阐明网络安全的好处。鉴于网络安全的重要性，安全团队必须确保以相关业务术语传达这些好处。

安全团队日常的信息体现方式：

在法律、合规或安全事件以外，安全团队通常基于风险、威胁（夸大的风险敞口、即将发生的灾难事件、严重的司法处罚）向管理层、组织阐述安全的价值，这些无法有效体现安全的真正价值。因为重点是避免风险，而不是和业务成果相关的内容。管理层关心的是业务成果、业务价值，安全团队的工作能否帮助业务发展、能否帮助业务减少风险，安全团队的投入和产出是否对等。

因此，从业务角度阐明安全团队的价值非常重要——因为无法证明商业价值的计划、预算可能无法通过审批，管理层不需要阻碍业务的安全团队。

阐明价值的最佳语言当然是财务语言，因为都和钱相关。在法律、合规要求以外，可以通过计算被保护的资产和安全的成本来体现安全价值。例如：保险使用资产价格和风险触发因素来计算保费。但是，对于网络安全，无法计算被保护资产的价格。因此，很难量化安全支出产生的财务回报。

结合历史事件来体现安全团队的价值：

出现安全事件以后，各组织都会进行分析，并撰写、出具安全事件分析报告。大家的事件报告里分包括这些内容吗？

1.如果影响业务，可以参考历史业务收入、业务活动预算等来估算事件造成的损失。

2.如果事件较严重，还会引起行政处罚或者更进一步的司法诉讼和刑事审判。

如果包括，那么就有结合历史事件来体现安全团队价值的基础了。日常进行的安全软件开发生命周期、安全运营、安全演练、风险评估等安全团队的工作都会发现安全风险，并进行妥善的控制。这些工作就可以和前期安全事件分析报告进行结合。

例如：在安全软件开发生命周期的测试阶段，发现某个待上线的系统存在一项漏洞，基于历史事件和近期的业务情况，如果没有及时发现这个漏洞，后续可能造成XX金融的资金损失。这个金额，就是安全团队的价值，挽回了潜在的损失。

这些潜在的损失并不是随意产生的，而是按照历史事件和近期的业务情况计算得到的，而且均有对应的来源和相应依据。经过一定时间的统计汇总，就可以体现安全团队在一定时期内通过控制风险减少的资金缺失（业务损失、客户赔偿、行政处罚、司法诉讼），甚至是刑事处罚。

业务安全价值实现：

将网络安全转向价值实现，要以严谨的视角基于业务导向，平衡成本收益，定义网络安全的价值，帮助高级管理层基于风险思考。

实施基于业务的安全战略，提供风险和安全服务组合的效能，需要业务、安全和IT之间的紧密合作。确认风险和安全服务的业务价值，首先要定义这些服务。我们通过创建风险和安全服务组合来实现这一目标。其次是为组合中的每项服务制定至少一个商业价值声明。只有这样，风险和安全服务的业务贡献和要求才会变得清晰，安全团队将能够实现提供业务相关性能所必需的变更。

我们将保护水平协议（PLA，protection level agreements）定义为定义成本的所需保护水平（级别），以满足业务目标。PLA类似于服务水平协议（SLA），安全团队中的大部分人员只专注于自己工作并且只用技术语言沟通，而不是与业务团队合作，解决业务痛点从而获得价值。因此，无法与业务人员产生共鸣，而且相互认为对方没有帮助自己，而是给自己设置障碍。

如何产生共鸣？在最简单的层面，采用对方可以理解的语言进行沟通，而且要进行针对业务价值的介绍。

为什么业务团队需要此网络安全服务？

使用此网络安全服务会产生什么好处？

我们是否理解业务，这些安全服务在业务流程中如何帮助业务？

拓展业务时是否有安全准入的要求？

外部客户是否有安全认证的要求？

以下是风险和安全服务组合：

以下是重置密码的业务流程图以及对应的风险和安全服务组合：

竞赛、评比：

每年的国家网络安全周，都会有网络安全竞赛和安全技能评比。一个新建立的安全团队，或者短期无法进行事件分析积累的情况下，可以通过参加外部竞赛、评比并获奖的方式，提升安全团队在组织内的知名度，体现名誉上的价值。部分竞赛、评比可能会有直接的奖金收入或带来减税的财务收入，但安全团队的主要目的是服务所在的组织，安全团队不可能依靠竞赛、评比生存，但竞赛、评比可以帮助安全团队锦上添花。

总结：

上述两种体现安全团队价值的方式都有前置条件，体现安全价值并不是一个简单而容易实现的过程。

首先，安全团队要能与各业务部门有效沟通：

1.以对方能够理解的语言进行沟通；

2.换位思考，了解对方的需求；

其次，安全团队要能给业务运营带来真实的帮助：

1.保护和提升企业品牌及其相关价值。这些措施包括防止安全事件对企业价值及其企业形象造成负面影响。

2.支持拓展市场份额的业务战略。实现某些市场、业务准入的安全要求。

3.业务流程可用性。除了面向客户的流程的明显重要性之外，还必须考虑对后台系统、流程（例如：财务系统和办公自动化）的影响，不能明显牺牲效率。

4.敏捷性和适应性。需要更快地响应业务和技术环境的变化，利用新技术、新方法安全地开发新产品。

5.迭代更新，不断完善。

6.关注监管环境的变化。评估法律或法规变化对安全的影响，并及时调整完善。例如，《个人信息保护法》马上就要实现了，收集的员工数据是否都得到单独同意。

7.营商环境的变化，供应链安全。例如，地缘政治风险，新冠疫情的影响。

很快就要到年终总结的时候了，大家赶紧准备起来吧，希望大家能向董事会、高级管理层体现安全团队的价值，有一个不错的年终绩效。另外，安全团队的成员有经济、金融、财务类的能力也很重要，一方面可以让安全团队理解价值并方便价值沟通和体现，另一方面也能帮助自己做好财富管理。

欢迎大家就数据安全开展讨论沟通。如果要在其他文章、会议材料中引用上述内容，请注明“来源：锐少”