高管總想削減預(yù)算，CISO需有靈活的結(jié)構(gòu)以改進(jìn)基線評(píng)估和目標(biāo)、戰(zhàn)術(shù)及能力。

[[242862]]

大多數(shù)現(xiàn)代企業(yè)都將網(wǎng)絡(luò)安全視為重中之重，這不算什么秘密。但風(fēng)險(xiǎn)管理公司Marsh最近的一份調(diào)查報(bào)告揭示，僅1/5的公司企業(yè)有工具可以管理網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)——盡管高管宣稱網(wǎng)絡(luò)攻擊是其首要風(fēng)險(xiǎn)管理關(guān)注點(diǎn)。

為什么認(rèn)知與實(shí)際行動(dòng)會(huì)倒掛?這往往是因?yàn)榘踩a(chǎn)品及工具似乎沒有能直接影響商業(yè)結(jié)果的投資回報(bào)(ROI)，也就讓安全人員難以在公司里倡導(dǎo)購(gòu)置這些工具。

公司企業(yè)難以量化網(wǎng)絡(luò)安全投資價(jià)值的同時(shí)，需重點(diǎn)指出的是，真正的ROI來自于防護(hù)公司免遭實(shí)質(zhì)性損害。Juniper Research 的一份研究預(yù)測(cè)，到2019年，數(shù)據(jù)泄露將令公司企業(yè)損失2萬億美元以上。因此，鑒于防損和公司底線之間的直接聯(lián)系，聰明的安全在成本節(jié)約、信譽(yù)保護(hù)等方面值回票價(jià)。公司企業(yè)知道自己需要關(guān)注安全，但想要真正獲得高管支持，安全團(tuán)隊(duì)需證明ROI——正確的ROI，并提供清晰的實(shí)現(xiàn)計(jì)劃。

同時(shí)，傳統(tǒng)信息安全角色不斷擴(kuò)張，如今的安全角色已超出了安全運(yùn)營(yíng)的范圍。安全人員現(xiàn)在身兼多責(zé)，不僅僅要確保安全工具正常運(yùn)轉(zhuǎn)，還需證明實(shí)現(xiàn)特定工具的需求是合理的。

面對(duì)領(lǐng)導(dǎo)層的這種新考驗(yàn)，安全團(tuán)隊(duì)該怎么讓高管理解應(yīng)將安全從一開始就植入產(chǎn)品和過程以避免在遭遇重大安全事件之后才亡羊補(bǔ)牢呢?做張安全路線圖可幫助規(guī)劃說服高管掏錢所需的戰(zhàn)術(shù)性行動(dòng)。

一張?jiān)贑IO下創(chuàng)建靈活安全結(jié)構(gòu)的有效路線圖，有4個(gè)支柱：

• 安全監(jiān)管：包含企業(yè)治理和關(guān)鍵績(jī)效指標(biāo)(KPI)跟蹤。
• 信息風(fēng)險(xiǎn)：內(nèi)部風(fēng)險(xiǎn)管理項(xiàng)目的設(shè)計(jì)及可持續(xù)性，可跟蹤企業(yè)整體風(fēng)險(xiǎn)和可接受較高風(fēng)險(xiǎn)水平之例外情況。
• 安全架構(gòu)和工程：與跟蹤并緩解風(fēng)險(xiǎn)的安全控制及工具的主動(dòng)持續(xù)部署有關(guān)的內(nèi)容。
• 安全運(yùn)營(yíng)：利用以上3個(gè)支柱監(jiān)視并報(bào)告事件的運(yùn)營(yíng)模型。

以此為基礎(chǔ)，以下4步可助信息安全人員將路線圖付諸實(shí)踐。

實(shí)踐 1：評(píng)估風(fēng)險(xiǎn)、資產(chǎn)及資源

應(yīng)先識(shí)別并登記最需保護(hù)的資產(chǎn)。什么東西對(duì)你的公司最為重要?你系統(tǒng)和數(shù)據(jù)面臨的最主要威脅是什么?然后你得理解這些資產(chǎn)遭遇網(wǎng)絡(luò)威脅的可能性。如果你的安全團(tuán)隊(duì)人手不足，不妨在必要的時(shí)候利用其它團(tuán)隊(duì)或外包出去。一旦完成評(píng)估，應(yīng)選擇要遵從的安全框架來保持項(xiàng)目正常運(yùn)行，比如美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)局(NIST)制定的安全框架——覆蓋了任意相關(guān)監(jiān)管要求的。

實(shí)踐 2：更新信息安全策略

要獲得高管支持，得從經(jīng)理層開始一級(jí)一級(jí)往上。更新現(xiàn)有策略并創(chuàng)建通用安全標(biāo)準(zhǔn)，可在高風(fēng)險(xiǎn)領(lǐng)域給他們提供指南。經(jīng)理也會(huì)受益于從風(fēng)險(xiǎn)評(píng)估到商業(yè)用于的轉(zhuǎn)譯和使用與高管層一致的標(biāo)準(zhǔn)。

實(shí)踐 3：發(fā)現(xiàn)所需的新控制并部署它們

確保記錄下每一個(gè)ID對(duì)數(shù)據(jù)的所有訪問——這需要日志管理工具或安全信息及事件管理系統(tǒng)(SIEM)。

限制特定數(shù)據(jù)只能被特定人員訪問通常是個(gè)不錯(cuò)的做法。另外還應(yīng)要求唯一的系統(tǒng)用戶名和口令，并清除組賬戶共享。數(shù)據(jù)防泄漏對(duì)于確保沒有敏感數(shù)據(jù)被郵出公司而言非常重要。一旦做好測(cè)試這些控制措施的準(zhǔn)備，你應(yīng)使用分階段的做法，以確保這些控制措施被集成到新基礎(chǔ)設(shè)施及應(yīng)用部署的軟件開發(fā)生命周期中。而且，測(cè)試過程中，你不應(yīng)僅注意解決方案在技術(shù)上是否有效，還應(yīng)關(guān)注是否會(huì)給你的雇員或過程帶來過重負(fù)擔(dān)。

實(shí)踐 4：教育你的員工、管理層、供應(yīng)商和客戶

準(zhǔn)備好推出新策略時(shí)，你需著眼內(nèi)部及外部教育。在內(nèi)部，你應(yīng)解釋員工需遵從的規(guī)則，以及不合規(guī)可能面臨的后果。定期安全培訓(xùn)會(huì)促進(jìn)良好安全意識(shí)的養(yǎng)成，做到“公司安全我有責(zé)”。對(duì)外，你應(yīng)讓供應(yīng)商和客戶都知曉你的新策略，讓他們知道合規(guī)所需要求。

雖然企業(yè)總想給預(yù)算瘦身，一張有效的路線圖是引導(dǎo)內(nèi)聚作用的最快方式。路線圖可使你改進(jìn)基線評(píng)估和目標(biāo)、戰(zhàn)術(shù)及能力。通過有效計(jì)算風(fēng)險(xiǎn)，從管理該風(fēng)險(xiǎn)的角度闡述安全產(chǎn)品的價(jià)值，以及合理化安全產(chǎn)品在預(yù)算中的位置，信息安全人員將能夠說服高管，留下預(yù)算。

Marsh報(bào)告鏈接：

https://www.marsh.com/us/insights/research/global-cyber-risk-perception-survey.html

Marsh報(bào)告下載地址：

https://www.marsh.com/content/dam/marsh/Documents/PDF/US-en/Marsh%20Microsoft%20Global%20Cyber%20Risk%20Perception%20Survey%20February%202018.pdf

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文