近日，英國公司Nominet發(fā)布了一份針對企業(yè)信息安全主管的調(diào)查報告——《墻內(nèi)的生活，解讀當(dāng)代CISO》，報告顯示，只有52%的CISO所在企業(yè)的高管認(rèn)為網(wǎng)絡(luò)安全對于企業(yè)的品牌和營收有重要貢獻(xiàn)。但也有相當(dāng)多高管認(rèn)為，CISO確保業(yè)務(wù)安全運(yùn)行本身就是在為企業(yè)創(chuàng)造價值，還有一些CISO通過增值活動提供額外的安全投資回報：安全部門通過各種計劃降低成本，開辟新的戰(zhàn)略機(jī)遇甚至直接增加企業(yè)收入。

[[342657]]

正如麻省理工學(xué)院斯隆商學(xué)院(CAMS)網(wǎng)絡(luò)安全執(zhí)行總監(jiān)Keri Pearlson指出：“在這個全新的時代，我們已經(jīng)看到了CISO為組織帶來價值的大量機(jī)會。”

以下，我們整理了各界專家的意見，聚焦CISO領(lǐng)導(dǎo)的網(wǎng)絡(luò)安全業(yè)務(wù)能夠給企業(yè)數(shù)字競爭力帶來的十大價值：

一、提升整體企業(yè)數(shù)據(jù)的可管理性和效率

畢馬威(KPMG)全球網(wǎng)絡(luò)安全實(shí)踐聯(lián)席負(fù)責(zé)人兼負(fù)責(zé)人Tony Buffomante表示，由于CISO在整個組織中具有可見性，因此他們有機(jī)會將增值服務(wù)帶到安全服務(wù)之外。他舉了一個案例，畢馬威(KPMG)與一家大型金融機(jī)構(gòu)的CISO合作評估其數(shù)據(jù)風(fēng)險。在進(jìn)行評估時，CISO發(fā)現(xiàn)很多收集到的數(shù)據(jù)和位于多個位置的數(shù)據(jù)資產(chǎn)未被使用。

作為風(fēng)險和安全評估的一部分，CISO和畢馬威會計師事務(wù)所首先對數(shù)據(jù)元素進(jìn)行了評分。然后，他們記錄了數(shù)據(jù)新舊程度是否對競爭優(yōu)勢有用，數(shù)據(jù)是否存儲在多個地方，以及數(shù)據(jù)是否在多個地方使用過。

CISO還與IT部門分享了他的見解，消除了冗余并減少了數(shù)據(jù)占用量，此舉不但幫助公司節(jié)省大量現(xiàn)金，同時還降低了安全風(fēng)險。同時，該公司的營銷部門利用CISO對數(shù)據(jù)的見解開展更加精準(zhǔn)和有針對性的營銷工作。

Buffomante解釋說：“正是CISO將洞察力帶入了數(shù)據(jù)，幫助企業(yè)業(yè)務(wù)部門思考使數(shù)據(jù)更具價值的方法。”

二、“業(yè)務(wù)漏洞獵手”：發(fā)現(xiàn)企業(yè)政策和流程缺陷

在安全審計中，CISO通常會發(fā)現(xiàn)系統(tǒng)和協(xié)議中存在的漏洞。其實(shí)，他們也完全可以如法炮制，幫助企業(yè)查找業(yè)務(wù)流程和政策中的漏洞，從而為組織帶來更多價值。

奧巴馬政府期間的第一位聯(lián)邦政府CISO，卡內(nèi)基梅隆大學(xué)亨氏信息系統(tǒng)與公共政策學(xué)院兼職教授，退休的美國空軍準(zhǔn)將葛雷格里·圖希爾說：“這是我們所有CISO和企業(yè)高管都應(yīng)該贊成的好想法：CISO可以讓整個企業(yè)變得更優(yōu)秀。”

在一個咨詢案例中，Touhill的一位安全分析師捕獲并調(diào)查了異?；顒?，這些異?；顒幼詈髿w因到了一位新員工的審核和入職問題。

Touhill說：“人力資源不在CISO的車道上，但是他們發(fā)出了警報，最終企業(yè)改進(jìn)了入職流程。”

當(dāng)然，要引起其他主管的注意，就需要CISO運(yùn)用最佳外交技巧，正如Touhill所指出的那樣，“您應(yīng)該讓組織出面來解決這個問題。”

三、發(fā)現(xiàn)冗余支出

CISO擅長搜尋并剿滅企業(yè)中過剩的冗余技術(shù)資產(chǎn)，以防這些資產(chǎn)帶來的安全風(fēng)險，但是資深安全主管Gene Fredriksen說，安全領(lǐng)導(dǎo)者能夠識別不必要的技術(shù)支出，從而幫助組織控制預(yù)算。

“如今，基于云的服務(wù)器非常容易使用，但是每次有人啟動云端服務(wù)器，企業(yè)都需要支付費(fèi)用。因此，如果進(jìn)行一次進(jìn)行許可證審核，高管們往往會被各種冗余支出嚇一跳。”國家信用聯(lián)盟信息共享與分析組織(NCU-ISAO)執(zhí)行董事，Pure IT信用聯(lián)盟服務(wù)的網(wǎng)絡(luò)安全負(fù)責(zé)人吉恩·弗雷德里克森(Gene Fredriksen)說道。

四、為知識產(chǎn)權(quán)保護(hù)提供技能

OutSecure Inc.總裁兼網(wǎng)絡(luò)安全女性組織(WiCyS)成員帕梅拉·古普塔(Pamela Gupta)說，識別未得到充分保護(hù)的知識產(chǎn)權(quán)“通常不是CISO的職責(zé)，但CISO完全可以在這個領(lǐng)域發(fā)揮作用。”

Gupta與一個CISO一起工作，該CISO的任務(wù)是對公司的財務(wù)和信用卡數(shù)據(jù)實(shí)施控制，但在此過程中，他認(rèn)為需要提高公司知識產(chǎn)權(quán)的安全性。

Gupta表示：“我發(fā)現(xiàn)，即使是大型組織也沒有采取基于風(fēng)險的方法來保護(hù)知識產(chǎn)權(quán)，并將這種保護(hù)覆蓋并連接整個組織的各個角落。”他補(bǔ)充說，可以通過基于風(fēng)險的安全意識培訓(xùn)來更好地識別和保護(hù)知識產(chǎn)權(quán)。這是CISO能為企業(yè)提供的高價值服務(wù)。

五、安全就是產(chǎn)品，安全就是賣點(diǎn)

安全如何創(chuàng)造價值?其實(shí)安全本身就是價值。Keri Pearlson博士指出：無論是消費(fèi)者從電商平臺購買一臺智能家電，還是企業(yè)高管與供應(yīng)商商談合同，每個人都希望與安全性靠譜的企業(yè)合作。而且，無論是消費(fèi)者還是企業(yè)，人們對于產(chǎn)品和企業(yè)安全能力的關(guān)注正在與日俱增。

Pearlson補(bǔ)充說：“企業(yè)能夠以安全性高而自居，這本身就可以創(chuàng)造收入。”這為CISO提供了機(jī)會。“如果CISO可以向您證明自己的公司或產(chǎn)品更安全，那么這本身就能帶來開展業(yè)務(wù)的戰(zhàn)略機(jī)會。”

Pearlson說她曾在一家組裝數(shù)字組件的產(chǎn)品公司工作。其CISO將其工作范圍從保護(hù)內(nèi)部系統(tǒng)擴(kuò)展到了產(chǎn)品的安全功能開發(fā)。

她補(bǔ)充說：“CISO抓住了機(jī)會，參與到產(chǎn)品開發(fā)層面。”“對于CISO來說，這不是傳統(tǒng)的角色，但是CISO其實(shí)可以在這里產(chǎn)生重大影響，尤其是在企業(yè)數(shù)字化轉(zhuǎn)型的過程中，一切皆有數(shù)字成分，同時也帶來數(shù)字風(fēng)險。”

六、搭建橋梁

像CIO和CFO同行一樣，CISO的工作覆蓋整個企業(yè)，因此有機(jī)會在企業(yè)中建立關(guān)系。資深安全主管，ISACA(專業(yè)致力于IT治理的專業(yè)協(xié)會)的前任董事長Brennan P.Baybeck說，這使CISO成為了大使。他指出，CISO的工作幾乎涉及整個執(zhí)行和戰(zhàn)略領(lǐng)域——從與數(shù)據(jù)相關(guān)的問題到法律，隱私和治理以及安全性。他們的任務(wù)是與許多其他伙伴一起尋找解決方案。

“CISO能夠看到需要改進(jìn)的地方，并在公司內(nèi)部協(xié)調(diào)資源”Baybeck說，他也是Oracle公司客戶服務(wù)的CISO。

他建議首席信息安全官利用這一經(jīng)驗(yàn)在各個職能部門中扮演調(diào)解人的角色，并通過打破孤島在部門之間建立網(wǎng)絡(luò)，來幫助企業(yè)更好地管理風(fēng)險。

七、幫助合作伙伴

弗雷德里克森(Fredriksen)認(rèn)為，面對日益嚴(yán)峻的供應(yīng)鏈安全性問題，CISO與企業(yè)的業(yè)務(wù)合作伙伴有大量合作的機(jī)會。

他說，作為首席信息安全官，他本人為供應(yīng)商和分銷商舉辦了安全研討會，與他們共享了安全警報和合規(guī)性更新。

他補(bǔ)充說：“CISO們需要分享最佳實(shí)踐，因?yàn)樗麄冊谝黄饡尡舜俗兊酶谩?rdquo;

八、尋找推進(jìn)標(biāo)準(zhǔn)化的機(jī)會

IT服務(wù)公司Garnet River LLC的CISO Michael D.Weisberg正在為一家大型企業(yè)的CISO提供建議，該企業(yè)已實(shí)施了不同的系統(tǒng)來處理來自不同地點(diǎn)的付款。該組織擁有23個不同的平臺來處理同一流程，這種情況不僅給CISO帶來了昂貴的復(fù)雜性，而且給支持所有這些系統(tǒng)的技術(shù)人員帶來了不必要的復(fù)雜性。

認(rèn)識到這些不同系統(tǒng)給組織帶來的負(fù)擔(dān)，CISO開發(fā)了一個統(tǒng)一的框架，該框架對所有系統(tǒng)的安全性和技術(shù)要求進(jìn)行了標(biāo)準(zhǔn)化。整個組織和CISO自己都從標(biāo)準(zhǔn)化工作中受益。

Weisberg說：“維護(hù)標(biāo)準(zhǔn)化的功能環(huán)境所需人員更少，效率更高，企業(yè)可從中長期受益。”

九、幫助企業(yè)高級管理層制定戰(zhàn)略計劃

隨著CISO逐步晉升為執(zhí)行合作伙伴，通過為CxO高管同行提供有關(guān)網(wǎng)絡(luò)安全問題的咨詢，CISO有能力推動制定更多企業(yè)戰(zhàn)略計劃。

非營利煙草控制組織Truth Initiative的首席信息和網(wǎng)絡(luò)安全官Derrick A.Butts說：“這與組織的愿景保持一致，并有助于節(jié)省資金并改善全體員工的工作流程。”

巴茨看到了CISO參與的戰(zhàn)略工作如何帶來紅利。

他以五年前公司搬遷舉例，盡管設(shè)施管理似乎不像是CISO擅長的領(lǐng)域，但他盡早參加了討論并最終影響了新辦公設(shè)施的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)。Butts建議他的同事向網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中添加功能，以支持大量的遠(yuǎn)程工作并為該遠(yuǎn)程工作提供安全性，他還說服其他高管，表示該計劃能夠確保在發(fā)生諸如大雪等緊急情況下，關(guān)閉整個辦公室(但不影響辦公)。

當(dāng)COVID-19大流行時，Butts參與該計劃的價值變得顯而易見，因?yàn)樗诠镜膯T工幾乎是無縫且迅速地過渡到了遠(yuǎn)程工作環(huán)境。

“我們不必重新評估并引入新系統(tǒng)來支持遠(yuǎn)程辦公工作。我們已經(jīng)早有準(zhǔn)備，因此業(yè)務(wù)絲毫不受(疫情)影響。”Butts補(bǔ)充道。

十、簡化法規(guī)控制

隨著各國立法者和私人實(shí)體頒布越來越多的安全和隱私法規(guī)(例如《加州消費(fèi)者保護(hù)法案》)，企業(yè)必須實(shí)施自己的控制措施以遵守法規(guī)。

但是，由于法規(guī)不斷增多，疊床架屋，如果“見招拆招”，通常會導(dǎo)致復(fù)雜、冗余的控制和相關(guān)流程。

云計算提供商Fastly的CISO邁克·約翰遜(Mike Johnson)說，由于安全領(lǐng)導(dǎo)者參與了各種監(jiān)管義務(wù)，他們經(jīng)?？梢哉业胶喕@些控制措施的方法。

他說：“CISO可以通過簡化與安全相關(guān)的操作和合規(guī)性來給企業(yè)帶來增值。”降低合規(guī)成本能為企業(yè)創(chuàng)造巨大價值。要知道，繁重的手動流程意味著很高的現(xiàn)金和機(jī)會成本，而自動化(以及其他改進(jìn)方法)確實(shí)可以為整個企業(yè)帶來收益。”

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文