欧美人成成品视频,国产精品乱码1,免费观看亚洲黄色A级片

企業的安全部門向來不是一個能掙錢的部門,高管層很容易就將安全投資看做一項必不可少卻又心不甘、情不愿的成本負擔。在這種情況下,安全負責人該如何向高管層匯報安全活動的商業價值?

通常,安全負責人在試圖說服高管層時,會圍繞著一些負面話題(例如,近期的新聞報道有多么駭人聽聞、風險威脅有多么可怕,或者是如果不進行安全建設,將會面臨重大災難)來進行,但這對于獲得高管層的支持沒有實質幫助。從本質上講,他們更關注的是業務成果而不是規避風險。因此,講這些負面信息通常解決不了管理人員內心“糾結點”。

安全建設與商業價值掛鉤有什么困難?

雖然高管們對安全風險的了解越來越多,但是安全負責人依然很難找到一個清晰明確、站得住腳的業務案例,來說明進行安全投資是值得的。要向高管層證明安全建設能夠實現的效益,安全負責人需要用業務價值來展現,但問題在于:

安全投資很少會直接促成收入增長或成本節約。

大多數企業領導者仍將安全建設成本視為一種雖然必不可少、但又痛心疾首的成本負擔,而不是一種商業投資。他們對安全投資的態度通常是:花費的時間和資金越少越好。

要獲得高管層的有效支持,就需要闡明信息安全的預期業務收益,這真的很難定義,也很難表達。

總得來說,企業安全負責人在如何制定有效的溝通策略,才能與企業高管層產生共鳴是當前所有安全負責人最頭疼的事之一。筆者在之前文章也有所說明,詳情可以參考(《避坑指南:安全負責人如何有效向高管層匯報》)。

安全建設與商業價值掛鉤的4大策略

策略1:將安全建設與公司目標聯系起來

在向高管們匯報,期待獲得他們的支持時,安全負責人通常會采用兩種方式:一種方式是通過各種數據來說明企業未來的安全狀況堪憂。但正如上文所說,高管層更多地是關注實現商業利益,而不是規避風險。另一種方式是用安全投資回報率來介紹安全建設計劃,但效果也并不理想,因為對安全建設投資一塊錢,未來也不一定能夠返還一塊錢。

最好的方法就是證明安全建設的業務價值。直接將安全建設與公司目標關聯起來,然后向高管層報告安全建設的進展情況可以實現這一點。安全負責人首先應該弄清楚公司要實現的既定目標,并在與高管層進行溝通時提到這些信息,說明安全建設是如何有助于實現這些目標的。安全負責人在介紹安全建設時措辭要準確,明確將安全建設與特定業務計劃關聯起來。所關聯的業務計劃重要性越高,就越能向高管層展示安全建設計劃的重要性。

例如,某家大型電力公司的安全負責人根據公司方案和發展方向說明,直接將安全計劃與業務發展目標聯系起來。該電力公司的高管層已經制定了一項五年戰略計劃,其中包含一些業務指南。CIO根據這些文件來制定了IT戰略計劃,并從IT角度出發,呼應了許多重要的業務主題。然后,安全負責人根據這些主題和發展計劃制定了安全團隊的章程、五年戰略計劃和預算要求。接下來,安全負責人使用高管簽字后的安全章程推動安全計劃的執行。最后,安全計劃的預算和人員都得到了增加,而且還有助于通過重大內部舉措來提高風險與安全計劃成熟度。

策略2:將安全風險指標與業務績效指標關聯起來

雖然對安全風險的管理不當會導致業務失敗和業績不佳。但是,大多數組織機構都沒有辦法對這種關系進行衡量。結果就是,業務人員并不清楚安全建設活動的效益在哪兒,在制定關鍵業務決策時,也就不會充分考慮安全風險。

要解決這個問題,一方面,企業應制定可靠的、獨立的關鍵績效指標(KPI);另一方面,安全部門則應制定可直接影響業務績效的關鍵風險指標(KRI)。這就需要深入了解安全風險是如何影響業務績效的,可以說KRI是衡量業務績效風險的先行指標。

舉例而言,某物流企業的關鍵系統上托管著供應鏈應用程序。該公司制定了相關的KRI,可以衡量這些關鍵系統的關鍵員工流失率和補丁狀況。在針對某些特定漏洞,補丁效果不佳的時候,就會影響關鍵系統上的應用程序,從而導致整個供應鏈速度放緩。由于整個供應鏈出現問題,則可能會導致無法完成季度指標,造成收入損失。通過這樣的一個關系映射,就可以明確地向高管層證明,企業為什么需要關注KRI,并幫助他們根據這些KRI做出更明智的業務決策。

先行指標示例

策略3:與高管溝通時不要使用運營指標

在與客戶的接觸中,我們了解到,很多安全負責人還在苦苦探索如何制定安全衡量指標,以期在向高管層進行匯報時,能夠引起他們的共鳴。但實際上,雖然運營指標可以很好地推動安全計劃的運行,但不會引起高管層的共鳴。運營指標應該在和同級和下屬在一起時,才適合適用。對于關注業務的高管層來說,向他們匯報運營指標,需要他們理解這些詳細信息,但他們卻又不懂這些指標如何應用,這不僅是在浪費他們的時間,也是在安全負責人自己的時間。當然,在高管層提出要求時,安全負責人也應該介紹一下詳細信息,但要避免試圖向業務主管人員講解詳細的運營指標。

但安全負責人總是要通過一定的指標來匯報安全狀況。在制定并匯報安全指標時,要確保安全指標符合業務目標。通常,良好的安全指標應具有以下特征:

符合業務目標:要實現這一點,最好的方法是匯總要匯報的指標,并確保演講人清楚地了解要報告的數據是如何支持企業的業務目標的。比如,在服務級別協議(SLA)中授予的用戶訪問請求的百分比,以此來證明生產力。

可控性:安全指標可以衡量能夠通過流程或工具控制的因素。若報告的要點內容超出安全部門的控制范圍,可能會適得其反,并且不利于做出決策或風險管理。安全經理經常直接報告通過工具統計出來的數字,而沒有介紹任何相應的上下文。例如,IPS警報的較大波動可能是因為該工具進行了“優化調整”,或者可能只是反映了已在Internet上發布的新漏洞。

數據質量客觀、可量化:為了確保安全指標有助于高管層做出業務決策,指標所代表的信息質量必須具有較高的水平,包括精度、準確性、可靠性、相關性和客觀性等方面。比如,25%的關鍵業務系統正在運行不常用的IPS簽名集。

開銷低:雖然安全指標要體現商業價值,但也必須要易于收集和分析。收益遞減規律適用于每個項目,這里也同樣適用:如果指標花費了太多時間和精力,那么它們的價值就會下降。

趨勢性:對于所收集的指標數據,通常還需要進一步的操作,才能通過收集的信息來展示未來的發展趨勢。趨勢性往往是一個展示和方法的問題,而不是憑空出現的一個特征。在趨勢發展變化范圍內也要考慮到變化性。例如,流程的成熟度不會快速變化,因此每周或每月都進行報告沒有太大意義。

策略4:評估安全流程成熟度

隨著高管層對網絡安全的了解日益增強,對安全負責人的匯報要求也就相應地提高了。在面臨安全風險的任何領域,高管層都想知道:我們面臨著哪些風險?我們的安全狀況如何?我們對存在的安全風險該怎么辦?安全運營指標很少能引起以業務為導向的高管層的共鳴。但對于許多組織機構來說,自己的安全流程成熟度則更好理解,而且流程成熟度也能更有效展現公司的風險狀況。

對安全流程成熟度的分析結果可以用于高管層在制定戰略計劃和戰術計劃時,確定戰略和戰術計劃中的項目優先級。

那么,如何通過安全流程成熟度來衡量公司的風險狀況呢?這主要包括以下六個步驟。我們以一個具體的環境為例來介紹一個安全流程——事件響應。

制定流程目錄:首先將事件響應作為一個正式的安全流程確定下來,制定一個文檔,包括流程介紹、流程圖、技能要求和人員配備要求等等。

評估流程成熟度:在公司規模小的時候,安全流程可能比較混亂,比如缺少問責制、安全指標記錄不連續等等。這說明成熟度比較低,即便之前正式規定了下來,也不應該再使用。

根據流程成熟度制定風險報告:為了評估效果不佳的響應流程會有什么風險,可以成立一個小組,包括來自IT、安全和業務部門的代表。他們可以通過描述可能發生的事件以及影響大但不太可能發生的事件兩種場景來模擬響應流程的重要性。重點是要關注當前的控制措施和預期的控制措施之間有何差距。

將差距分解為項目:對于風險報告中顯示存在差距的地方,要制定一系列項目來逐漸完善。

制定戰略計劃:在根據流程的成熟度和企業的風險狀況了解了每個項目的影響后,便可以根據預算、進度和影響成都來確定項目的優先級。例如,有些合規性項目需要立即執行,有些項目可以暫緩一段時間執行。

定期向高管層匯報進度:要讓高管層對安全建設保持興趣,關鍵是要通過定期匯報,介紹在最近一段時間內取得了哪些成果,讓高管人員參與進來。