CISO必须以切实的金额清晰呈现其业务价值。
如果你是CISO或者其他层级的信息安全官,下面的工作描述听起来可能你会认同:
我的工作是管理信息安全以保证企业安全。
而你的成功指标,也就是你用以让公司其他人明白你价值的东西,可能与维护和改善技术层面的安全有关,比如修复的漏洞或达成的 NIST CSF 成熟度等级。
然而,以上说法仅对了一部分。事实上,与公司里其他人的工作一样,信息安全官的工作不仅仅在于防护公司,而在于让公司在可接受的风险水平上高效赚钱。
为取得职业上的真正成功,CISO必须以具体金钱数额的形式向公司证明自己的价值。也就是说,CISO要将自己的标签从“最小化威胁和漏洞”,转变到包含进“提供业务支持选项”上,即:安全投资水平和相应风险之间的权衡要清晰地表达出来,以便做出明智的商业决策。
CISO需关注公司的战略目标,重视支持首要业务职能的人员、技术及过程,要将技术层面上的安全纳入整体考虑。以风险等级为例。大多数风险登记是以分类账的形式执行的,在一个地方记录控制缺陷、审计发现和策略例外,或者仅仅简单分类可能留有隐患的一些事务,比如“迁移到云端”。
这些条目可能就靠分析师的直觉分类为高-中-低级风险(很有可能就是中级),或者干脆不加区分地混在一堆。无论如何,都没将这些“风险”与潜在经济损失之类公司关心的东西联系起来。
人力资源与薪资服务公司ADP在这方面做得更好些,该公司是当今最佳网络风险经理人之一,拥有2套风险注册管理规则。其首席安全顾问 Marta Palanques 在2017年的FAIR大会上这么说道:
1. 每个条目都必须与IT资产相关,该IT资产又必须与产品线相关。例如,风险可能是数据中心受损——服务器掉线,而这些服务器上托管着负责产品运营的应用——产品是要为公司带来盈利的。
2. 每个条目都必须根据FAIR(信息风险因素分析)模型定义成“损失事件”,对网络风险进行量化,以具体金额的形式列出威胁的潜在频率与影响(例如数据中心宕机造成的营业额损失)。
ADP这样的风险登记清晰展现了网络安全的商业价值,阐明了量化才是重点。有了对损失事件的金额估算,CISO还能根据潜在损失的相对范围确定出首要风险列表,例如,比较应用下线和与该应用相关的客户信息泄露所致损失的大小,然后取舍平衡。
取舍平衡过程中需要考虑缓解措施投资的回报。这一步中,风险分析师可以再次利用FAIR模型,在给定的风险分析中调整输入,观察可选情况。例如,实现双因子身份验证是否能将潜在损失减少到值回投资的程度?
接下来风险分析师可以审查实际的损失暴露面是否随时间减小。他们可以识别出最能影响潜在损失的顶级风险的相关变量,跟踪并定期报告这些关键风险指标。
网络安全价值主张的终极呈现,在CISO将网络风险量化工作完全集成进公司风险管理项目中,当他们能与市场风险和金融风险的守护者在同等条件下讨论网络安全如何促进公司价值增值的时候,就自然显现出来了。或许目标略远大,但只要确实迈出第一步,在FAIR这种标准风险量化模型的基础上有条不紊地衡量网络风险,CISO的价值终将得到公司承认。