安全之殇：如何将安全建设与商业价值挂钩？ 企业的安全部门向来不是一个能挣钱的部门， 高管层很容易就将安全投资看做一项必不可少 却又心不甘、情不愿的成本负担。在这种情况下，安全负责人该如何向高管层汇报安全活动的商业价值？ 通常，安全负责人在试图说服高管层时，会围绕着一些负面话题（例如，近期的新闻报道有 多么骇人听闻、风险威胁有多么可怕，或者是如果不进行安全建设，将会面临重大灾难）来进行，但这对于获得高管层的支持没有实质帮助。从本质上讲，他们更关注的是业务成果而不是规避风险。因此，讲这些负面信息通常解决不了管理人员内心“纠结点” 。 安全建设与商业价值挂钩有什么困难？ 虽然高管们对安全风险的了解越来越多，但是安全负责人依然很难找到一个清晰明确、站得 住脚的业务案例，来说明进行安全投资是值得的。 要向高管层证明安全建设能够实现的效 益，安全负责人需要用业务价值来展现 ，但问题在于： 安全投资很少会直接促成收入增长或成本节约。 大多数企业领导者仍将安全建设成本视为一种虽然必不可少、 但又痛心疾首的成本负担， 而不是一种商业投资。他们对安全投资的态度通常是：花费的时间和资金越少越好。 要获得高管层的有效支持，就需要阐明信息安全的预期业务收益，这真的很难定义，也 很难表达。 总得来说，企业安全负责人在如何制定有效的沟通策略，才能与企业高管层产生共鸣是当前 所有安全负责人最头疼的事之一。笔者在之前文章也有所说明，详情可以参考（ 《避坑指南： 安全负责人如何有效向高管层汇报》 ）。 安全建设与商业价值挂钩的 4大策略 策略1：将安全建设与公司目标联系起来 在向高管们汇报，期待获得他们的支持时，安全负责人通常会采用两种方式：一种方式是通 过各种数据来说明企业未来的安全状况堪忧。但正如上文所说，高管层更多地是关注实现商业利益，而不是规避风险。另一种方式是用安全投资回报率来介绍安全建设计划，但效果也并不理想，因为对安全建设投资一块钱，未来也不一定能够返还一块钱。 最好的方法就是证明安全建设的业务价值。直接将安全建设与公司目标关联起来，然后向高 管层报告安全建设的进展情况可以实现这一点。 安全负责人首先应该弄清楚公司要实现的既 定目标，并在与高管层进行沟通时提到这些信息，说明安全建设是如何有助于实现这些目标的。安全负责人在介绍安全建设时措辞要准确，明确将安全建设与特定业务计划关联起来。所关联的业务计划重要性越高，就越能向高管层展示安全建设计划的重要性。例如，某家大型电力公司的安全负责人根据公司方案和发展方向说明，直接将安全计划与业 务发展目标联系起来。该电力公司的高管层已经制定了一项五年战略计划，其中包含一些业务指南。 CIO根据这些文件来制定了 IT战略计划，并从 IT角度出发，呼应了许多重要的业 务主题。然后，安全负责人根据这些主题和发展计划制定了安全团队的章程、五年战略计划和预算要求。接下来，安全负责人使用高管签字后的安全章程推动安全计划的执行。最后，安全计划的预算和人员都得到了增加， 而且还有助于通过重大内部举措来提高风险与安全计 划成熟度。 策略2：将安全风险指标与业务绩效指标关联起来 虽然对安全风险的管理不当会导致业务失败和业绩不佳。但是，大多数组织机构都没有办法 对这种关系进行衡量。结果就是，业务人员并不清楚安全建设活动的效益在哪儿，在制定关键业务决策时，也就不会充分考虑安全风险。 要解决这个问题，一方面，企业应制定可靠的、独立的关键绩效指标（ KPI）；另一方面， 安全部门则应制定可直接影响业务绩效的关键风险指标（ KRI）。这就需要深入了解安全风 险是如何影响业务绩效的，可以说 KRI是衡量业务绩效风险的先行指标。 举例而言，某物流企业的关键系统上托管着供应链应用程序。该公司制定了相关的 KRI，可 以衡量这些关键系统的关键员工流失率和补丁状况。在针对某些特定漏洞，补丁效果不佳的时候，就会影响关键系统上的应用程序，从而导致整个供应链速度放缓。由于整个供应链出现问题，则可能会导致无法完成季度指标，造成收入损失。通过这样的一个关系映射，就可以明确地向高管层证明，企业为什么需要关注 KRI，并帮助他们根据这些 KRI做出更明智 的业务决策。 先行指标示例 策略3：与高管沟通时不要使用运营指标 在与客户的接触中，我们了解到，很多安全负责人还在苦苦探索如何制定安全衡量指标，以期在向高管层进行汇报时，能够引起他们的共鸣。但实际上，虽然运营指标可以很好地推动 安全计划的运行，但不会引起高管层的共鸣。运营指标应该在和同级和下属在一起时，才适合适用。对于关注业务的高管层来说，向他们汇报运营指标，需要他们理解这些详细信息，但他们却又不懂这些指标如何应用，这不仅是在浪费他们的时间，也是在安全负责人自己的时间。当然，在高管层提出要求时，安全负责人也应该介绍一下详细信息，但要避免试图向业务主管人员讲解详细的运营指标。 但安全负责人总是要通过一定的指标来汇报安全状况。在制定并汇报安全指标时，要确保安 全指标符合业务目标。通常，良好的安全指标应具有以下特征：符合业务目标： 要实现这一点，最好的方法是汇总要汇报的指标，并确保演讲人清楚地 了解要报告的数据是如何支持企业的业务目标的。比如，在服务级别协议（ SLA）中授 予的用户访问请求的百分比，以此来证明生产力。 可控性： 安全指标可以衡量能够通过流程或工具控制的因素。若报告的要点内容超出安 全部门的控制范围，可能会适得其反，并且不利于做出决策或风险管理。安全经理经常直接报告通过工具统计出来的数字，而没有介绍任何相应的上下文。例如， IPS警报的 较大波动可能是因为该工具进行了“优化调整” ，或者可能只是反映了已在 Internet上 发布的新漏洞。 数据质量客观、可量化： 为了确保安全指标有助于高管层做出业务决策，指标所代表的 信息质量必须具有较高的水平，包括精度、准确性、可靠性、相关性和客观性等方面。比如，25％的关键业务系统正在运行不常用的 IPS签名集。 开销低： 虽然安全指标要体现商业价值，但也必须要易于收集和分析。收益递减规律适 用于每个项目，这里也同样适用：如果指标花费了太多时间和精力，那么它们的价值就会下降。 趋势性： 对于所收集的指标数据，通常还需要进一步的操作，才能通过收集的信息来展 示未来的发展趋势。 趋势性往往是一个展示和方法的问题， 而不是凭空出现的一个特征。 在趋势发展变化范围内也要考虑到变化性。例如，流程的成熟度不会快速变化，因此每周或每月都进行报告没有太大意义。 策略4：评估安全流程成熟度 随着高管层对网络安全的了解日益增强，对安全负责人的汇报要求也就相应地提高了。在面 临安全风险的任何领域，高管层都想知道：我们面临着哪些风险？我们的安全状况如何？我们对存在的安全风险该怎么办？安全运营指标很少能引起以业务为导向的高管层的共鸣。 但 对于许多组织机构来说，自己的安全流程成熟度则更好理解，而且流程成熟度也能更有效展现公司的风险状况。 对安全流程成熟度的分析结果可以用于高管层在制定战略计划和战术计划时， 确定战略和战 术计划中的项目优先级。那么，如何通过安全流程成熟度来衡量公司的风险状况呢？这主要包括以下六个步骤。我们 以一个具体的环境为例来介绍一个安全流程—— 事件响应。 制定流程目录： 首先将事件响应作为一个正式的安全流程确定下来，制定一个文档，包 括流程介绍、流程图、技能要求和人员配备要求等等。 评估流程成熟度： 在公司规模小的时候，安全流程可能比较混乱，比如缺少问责制、安 全指标记录不连续等等。这说明成熟度比较低，即便之前正式规定了下来，也不应该再使用。 根据流程成熟度制定风险报告： 为了评估效果不佳的响应流程会有什么风险，可以成立 一个小组，包括来自 IT、安全和业务部门的代表。他们可以通过描述可能发生的事件 以及影响大但不太可能发生的事件两种场景来模拟响应流程的重要性。 重点是要关注当 前的控制措施和预期的控制措施之间有何差距。 将差距分解为项目： 对于风险报告中显示存在差距的地方，要制定一系列项目来逐渐完 善。 制定战略计划： 在根据流程的成熟度和企业的风险状况了解了每个项目的影响后，便可 以根据预算、进度和影响成都来确定项目的优先级。例如，有些合规性项目需要立即执行，有些项目可以暂缓一段时间执行。 定期向高管层汇报进度： 要让高管层对安全建设保持兴趣，关键是要通过定期汇报，介 绍在最近一段时间内取得了哪些成果，让高管人员参与进来。 将安全流程存在的差距分解为项目 写在最后 安全建设作为一项必不可少但又不挣钱的项目，安全负责人在向高管汇报时，就需要体现安 全建设计划的商业价值。既然安全运营指标无法有效引起安全负责人的共鸣，那么该用哪些安全指标进行汇报呢？安全流程该如何制定，其成熟度又该如何衡量呢？更多信息，敬请联系青藤，我们将为您提供更加专业的指导服务！