高管總想削減預(yù)算，CISO需有靈活的結(jié)構(gòu)以改進(jìn)基線評估和目標(biāo)、戰(zhàn)術(shù)及能力。

[[242862]]

大多數(shù)現(xiàn)代企業(yè)都將網(wǎng)絡(luò)安全視為重中之重，這不算什么秘密。但風(fēng)險管理公司Marsh最近的一份調(diào)查報告揭示，僅1/5的公司企業(yè)有工具可以管理網(wǎng)絡(luò)攻擊風(fēng)險——盡管高管宣稱網(wǎng)絡(luò)攻擊是其首要風(fēng)險管理關(guān)注點。

為什么認(rèn)知與實際行動會倒掛?這往往是因為安全產(chǎn)品及工具似乎沒有能直接影響商業(yè)結(jié)果的投資回報(ROI)，也就讓安全人員難以在公司里倡導(dǎo)購置這些工具。

公司企業(yè)難以量化網(wǎng)絡(luò)安全投資價值的同時，需重點指出的是，真正的ROI來自于防護(hù)公司免遭實質(zhì)性損害。Juniper Research 的一份研究預(yù)測，到2019年，數(shù)據(jù)泄露將令公司企業(yè)損失2萬億美元以上。因此，鑒于防損和公司底線之間的直接聯(lián)系，聰明的安全在成本節(jié)約、信譽保護(hù)等方面值回票價。公司企業(yè)知道自己需要關(guān)注安全，但想要真正獲得高管支持，安全團(tuán)隊需證明ROI——正確的ROI，并提供清晰的實現(xiàn)計劃。

同時，傳統(tǒng)信息安全角色不斷擴(kuò)張，如今的安全角色已超出了安全運營的范圍。安全人員現(xiàn)在身兼多責(zé)，不僅僅要確保安全工具正常運轉(zhuǎn)，還需證明實現(xiàn)特定工具的需求是合理的。

面對領(lǐng)導(dǎo)層的這種新考驗，安全團(tuán)隊該怎么讓高管理解應(yīng)將安全從一開始就植入產(chǎn)品和過程以避免在遭遇重大安全事件之后才亡羊補(bǔ)牢呢?做張安全路線圖可幫助規(guī)劃說服高管掏錢所需的戰(zhàn)術(shù)性行動。

一張在CIO下創(chuàng)建靈活安全結(jié)構(gòu)的有效路線圖，有4個支柱：

• 安全監(jiān)管：包含企業(yè)治理和關(guān)鍵績效指標(biāo)(KPI)跟蹤。
• 信息風(fēng)險：內(nèi)部風(fēng)險管理項目的設(shè)計及可持續(xù)性，可跟蹤企業(yè)整體風(fēng)險和可接受較高風(fēng)險水平之例外情況。
• 安全架構(gòu)和工程：與跟蹤并緩解風(fēng)險的安全控制及工具的主動持續(xù)部署有關(guān)的內(nèi)容。
• 安全運營：利用以上3個支柱監(jiān)視并報告事件的運營模型。

以此為基礎(chǔ)，以下4步可助信息安全人員將路線圖付諸實踐。

實踐 1：評估風(fēng)險、資產(chǎn)及資源

應(yīng)先識別并登記最需保護(hù)的資產(chǎn)。什么東西對你的公司最為重要?你系統(tǒng)和數(shù)據(jù)面臨的最主要威脅是什么?然后你得理解這些資產(chǎn)遭遇網(wǎng)絡(luò)威脅的可能性。如果你的安全團(tuán)隊人手不足，不妨在必要的時候利用其它團(tuán)隊或外包出去。一旦完成評估，應(yīng)選擇要遵從的安全框架來保持項目正常運行，比如美國國家標(biāo)準(zhǔn)與技術(shù)局(NIST)制定的安全框架——覆蓋了任意相關(guān)監(jiān)管要求的。

實踐 2：更新信息安全策略

要獲得高管支持，得從經(jīng)理層開始一級一級往上。更新現(xiàn)有策略并創(chuàng)建通用安全標(biāo)準(zhǔn)，可在高風(fēng)險領(lǐng)域給他們提供指南。經(jīng)理也會受益于從風(fēng)險評估到商業(yè)用于的轉(zhuǎn)譯和使用與高管層一致的標(biāo)準(zhǔn)。

實踐 3：發(fā)現(xiàn)所需的新控制并部署它們

確保記錄下每一個ID對數(shù)據(jù)的所有訪問——這需要日志管理工具或安全信息及事件管理系統(tǒng)(SIEM)。

限制特定數(shù)據(jù)只能被特定人員訪問通常是個不錯的做法。另外還應(yīng)要求唯一的系統(tǒng)用戶名和口令，并清除組賬戶共享。數(shù)據(jù)防泄漏對于確保沒有敏感數(shù)據(jù)被郵出公司而言非常重要。一旦做好測試這些控制措施的準(zhǔn)備，你應(yīng)使用分階段的做法，以確保這些控制措施被集成到新基礎(chǔ)設(shè)施及應(yīng)用部署的軟件開發(fā)生命周期中。而且，測試過程中，你不應(yīng)僅注意解決方案在技術(shù)上是否有效，還應(yīng)關(guān)注是否會給你的雇員或過程帶來過重負(fù)擔(dān)。

實踐 4：教育你的員工、管理層、供應(yīng)商和客戶

準(zhǔn)備好推出新策略時，你需著眼內(nèi)部及外部教育。在內(nèi)部，你應(yīng)解釋員工需遵從的規(guī)則，以及不合規(guī)可能面臨的后果。定期安全培訓(xùn)會促進(jìn)良好安全意識的養(yǎng)成，做到“公司安全我有責(zé)”。對外，你應(yīng)讓供應(yīng)商和客戶都知曉你的新策略，讓他們知道合規(guī)所需要求。

雖然企業(yè)總想給預(yù)算瘦身，一張有效的路線圖是引導(dǎo)內(nèi)聚作用的最快方式。路線圖可使你改進(jìn)基線評估和目標(biāo)、戰(zhàn)術(shù)及能力。通過有效計算風(fēng)險，從管理該風(fēng)險的角度闡述安全產(chǎn)品的價值，以及合理化安全產(chǎn)品在預(yù)算中的位置，信息安全人員將能夠說服高管，留下預(yù)算。

Marsh報告鏈接：

https://www.marsh.com/us/insights/research/global-cyber-risk-perception-survey.html

Marsh報告下載地址：

https://www.marsh.com/content/dam/marsh/Documents/PDF/US-en/Marsh%20Microsoft%20Global%20Cyber%20Risk%20Perception%20Survey%20February%202018.pdf

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文