Joseph Granneman是SearchSecurity.com的信息安全管理方面的專家。他擁有超過20年的信息安全方面的技術(shù)經(jīng)驗。

作為一個安全管理和預算方面的新手，我正在試圖制定一個有效的信息安全支出計劃。對于做好戰(zhàn)略性安全預算，你是否有任何建議呢?

[[127426]]

Joseph Granneman：在過去十年中，信息安全技術(shù)已經(jīng)得到了很多改進，例如下一代防火墻和改進的入侵防御系統(tǒng)。然而，在過去一年中，我們也看到非常多成功的網(wǎng)絡攻擊和數(shù)據(jù)泄露事故?，F(xiàn)在攻擊變得越來越復雜，我們需要新的防御技術(shù)來與攻擊者進行網(wǎng)絡軍備競賽。但攻擊的復雜性并不一定是數(shù)據(jù)泄露事故激增的根本原因。

數(shù)據(jù)泄露事故的增加只是因為很少企業(yè)將信息安全作為戰(zhàn)略重點。信息安全往往被視為成功部署新項目或新產(chǎn)品的路障，這種看法直接關(guān)聯(lián)到信息安全產(chǎn)業(yè)的不成熟性。在乘客安全方面，汽車行業(yè)也經(jīng)歷著類似的階段。安全帶和安全氣囊只是根據(jù)法律要求而被添加，因為開發(fā)更安全的產(chǎn)品需要更多時間，并要到很久以后才會帶動汽車的銷售。安全預算通常只是滿足最低限度的合規(guī)要求，而沒有被納入企業(yè)戰(zhàn)略，其實后者這樣才更有效。

首席信息安全官或信息安全經(jīng)理可以采取一些步驟來幫助將信息安全從開銷費用轉(zhuǎn)變?yōu)閼?zhàn)略機會。下面是三個例子：

首先，安全領導很重要。大多數(shù)企業(yè)領導者對CISO的職能范圍只有基本的了解。他們知道這個角色的存在是為了提供安全性和合規(guī)性。這種情況可以被視為是一個缺點，但這實際上是一個機會。這種模糊性為CISO提供了機會來為自己重新定義這個角色，同時可將對信息安全的看法從成本中心轉(zhuǎn)變?yōu)閼?zhàn)略合作伙伴。強有力的信息安全領導還可以從其他業(yè)務領導獲得戰(zhàn)略安全預算所需的支持。

其次，避免所謂的滅火式做法。很多安全領導掉入了只能響應的陷阱。這可能是由于缺乏資源、不安全的環(huán)境，或者習慣采用反應式做法。有效的安全領導者知道，為了構(gòu)建有效的戰(zhàn)略，他們不能總是遠離前線。他們可能需要外包某些功能，或構(gòu)建自動化流程來專注于更大的藍圖。這似乎有悖常理，但花時間來向領導層構(gòu)建用例來獲得更多資源，要比抓住鍵盤來編寫新的防火墻規(guī)則有著更大的整體影響。

為信息安全戰(zhàn)略性預算獲得支持的最后一步是專注于制定和報告指標。安全領導必須非常坦誠地交代現(xiàn)有信息安全計劃的缺點，并以指標和報告的方式展示可操作的數(shù)據(jù)，這是提供誠實評估的最佳方式。不同的企業(yè)安全部門可能會使用不同的指標，因為這些是企業(yè)特有的指標。有些指標通常會聯(lián)系到企業(yè)提供的特定產(chǎn)品或服務，這些指標可能產(chǎn)生最大的影響;一個很好的指標示例是：通過企業(yè)開發(fā)的移動應用丟失個人信息的客戶百分比。企業(yè)通過部署更強的安全做法，這個數(shù)據(jù)應該最終會減少，并可以以此要求戰(zhàn)略性安全預算。

戰(zhàn)略性安全預算可以幫助避免很多最近發(fā)生的大型數(shù)據(jù)泄露事故。這種預算類型很難以得到，因為信息安全領域仍然沒有得到企業(yè)領導的理解。首席信息安全官或信息安全經(jīng)理必須提供強有力的領導力來幫助這些領導了解戰(zhàn)略性信息安全預算的價值。他們也需要讓自己從日常滅火式活動中脫離出來，以便把重點放在高層次的戰(zhàn)術(shù)，其中包括制定和報告指標數(shù)據(jù)。

筆者希望有這么一天，企業(yè)領導了解了信息安全在企業(yè)戰(zhàn)略中的重要性，正如氣囊和安全帶對于汽車的重要性。現(xiàn)在是信息安全領域激動人心的時候，因為現(xiàn)在的首席信息安全官和信息安全領導有機會開拓出一條道路。