盡管新聞?lì)^條頻繁描述全球大規(guī)模數(shù)據(jù)泄露事件，但首席信息安全官 (CISO) 仍然難以向最高領(lǐng)導(dǎo)層證明安全投資的合理性。據(jù)Gartner稱，安全支出僅占IT總資金的5.6%左右。

無(wú)論企業(yè)領(lǐng)導(dǎo)層最終批準(zhǔn)多少安全預(yù)算，都需要 CISO 來(lái)優(yōu)化資金分配。更多的資金可能會(huì)有所幫助，但前提是他們知道如何有效地使用資金——并且在第一次推介之前就開(kāi)始計(jì)劃。讓我們仔細(xì)看看安全領(lǐng)導(dǎo)者可以采取的四個(gè)關(guān)鍵步驟，以最大限度地提高安全投資回報(bào)。

1. 評(píng)估風(fēng)險(xiǎn)、資產(chǎn)和資源

CISO 應(yīng)首先徹底評(píng)估組織中既有價(jià)值又存在潛在風(fēng)險(xiǎn)的系統(tǒng)、數(shù)據(jù)和其他業(yè)務(wù)資產(chǎn)。如今，這構(gòu)成了一個(gè)不斷發(fā)展的網(wǎng)絡(luò)，優(yōu)先級(jí)將隨著時(shí)間的推移而變化，以反映業(yè)務(wù)和威脅形勢(shì)的變化。

Absolute 技術(shù)風(fēng)險(xiǎn)管理和數(shù)據(jù)隱私總監(jiān) Jo-Ann Smith 表示：“應(yīng)該首先識(shí)別并記錄最需要保護(hù)的資產(chǎn)。什么對(duì)業(yè)務(wù)很重要？系統(tǒng)和數(shù)據(jù)面臨的主要威脅是什么？”

在您踏入行政辦公室或董事會(huì)會(huì)議室以倡導(dǎo)安全之前，就需要進(jìn)行這種評(píng)估。其調(diào)查結(jié)果將為安全計(jì)劃的目標(biāo)和預(yù)算建議奠定基礎(chǔ)。購(gòu)買的技術(shù)及其所服務(wù)的需求對(duì)于每個(gè)企業(yè)來(lái)說(shuō)都是獨(dú)特的。

換句話說(shuō)，初步審查的結(jié)果對(duì)于不同的 CISO 可能意味著許多不同的事情。行業(yè)框架提供的通用模型可以幫助安全領(lǐng)導(dǎo)者確定優(yōu)先事項(xiàng)并確定特定于其業(yè)務(wù)的差距。

Cyber Risk Opportunities 首席執(zhí)行官 Kip Boyle 指出，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 網(wǎng)絡(luò)安全框架 (CSF)是評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)的最佳方法。

他說(shuō)：“我們發(fā)現(xiàn)，大多數(shù)公司在與供應(yīng)商和客戶簽訂的賠償合同條款、反網(wǎng)絡(luò)釣魚(yú)培訓(xùn)、網(wǎng)絡(luò)保險(xiǎn)和危機(jī)管理規(guī)劃等關(guān)鍵緩解措施方面投資不足。然而，這些對(duì)于減輕現(xiàn)代網(wǎng)絡(luò)威脅都至關(guān)重要?！?/p>

2.使安全預(yù)算與業(yè)務(wù)目標(biāo)保持一致

在向高管和董事會(huì)董事展示安全投資回報(bào)時(shí)，安全領(lǐng)導(dǎo)者必須講金錢的語(yǔ)言。安全如何為企業(yè)服務(wù)？

Carbonite 首席信息安全官拉里·弗里德曼 (Larry Friedman) 表示：“在評(píng)估如何支出時(shí)，首席信息安全官應(yīng)始終與業(yè)務(wù)保持一致。安全支出應(yīng)根據(jù)與確保重要業(yè)務(wù)流程連續(xù)性相關(guān)的風(fēng)險(xiǎn)來(lái)計(jì)算?！?/p>

這超出了保護(hù)數(shù)據(jù)和維護(hù)法規(guī)遵從性的范圍。尋找機(jī)會(huì)使用安全資金不僅可以緩解風(fēng)險(xiǎn)，還可以增加收入并實(shí)現(xiàn)其他業(yè)務(wù)勝利，例如提高生產(chǎn)力，有助于 CISO 將安全定位為動(dòng)態(tài)業(yè)務(wù)推動(dòng)者，而不是靜態(tài)成本中心。

CISO 應(yīng)實(shí)施自動(dòng)化安全情報(bào)和分析工具，以減少安全團(tuán)隊(duì)的繁忙工作，并幫助其專注于更具戰(zhàn)略性的項(xiàng)目。當(dāng)您分析投資機(jī)會(huì)時(shí)，不僅要考慮它們的成本，還要考慮它們可以為公司節(jié)省多少或增加價(jià)值。

3. 雇用和培訓(xùn)優(yōu)秀人才

經(jīng)常令人遺憾的網(wǎng)絡(luò)安全技能差距幾乎沒(méi)有縮小的跡象。國(guó)際信息系統(tǒng)安全認(rèn)證聯(lián)盟 (ISC2)最近的一份報(bào)告顯示，全球網(wǎng)絡(luò)安全技能缺口近 300 萬(wàn)個(gè)職位空缺，約三分之二的企業(yè)認(rèn)為他們的安全團(tuán)隊(duì)人員不足。

毫無(wú)疑問(wèn)，對(duì)安全計(jì)劃的最佳投資之一就是擁有高效的員工。然而，在雇主尋求人才的緊張市場(chǎng)中，組織可能必須向內(nèi)看并投資于培訓(xùn)員工，否則他們可能不會(huì)考慮從事安全職業(yè)。

通過(guò)培訓(xùn)已經(jīng)屬于組織的人員并招募他們從事安全工作，CISO 可以提供職業(yè)發(fā)展機(jī)會(huì)并建立安全團(tuán)隊(duì)，同時(shí)利用員工的機(jī)構(gòu)知識(shí)。

4. 投資安全文化

有效的網(wǎng)絡(luò)安全策略必須包括每位員工都重視安全的企業(yè)文化。但信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）和能力成熟度模型集成（CMMI）研究所的《2018年網(wǎng)絡(luò)安全文化報(bào)告》發(fā)現(xiàn)，大多數(shù)組織仍在努力建立安全文化。此外，95% 的受訪者指出他們當(dāng)前的網(wǎng)絡(luò)安全組織文化與理想的網(wǎng)絡(luò)安全組織文化之間存在差距。

將安全文化融入企業(yè)意味著什么？這意味著讓所有員工（從安全團(tuán)隊(duì)到高管團(tuán)隊(duì)）感受到對(duì)公司安全和風(fēng)險(xiǎn)狀況的投入，并采取安全行為。對(duì)安全文化的投資可以包括意識(shí)培訓(xùn)、安全開(kāi)發(fā)生命周期計(jì)劃以及對(duì)表現(xiàn)出合規(guī)性和報(bào)告事件的員工的獎(jiǎng)勵(lì)等舉措。

一些數(shù)字證明了這樣做的好處：根據(jù) ISACA/CMMI 研究，報(bào)告安全文化不足的組織將其年度網(wǎng)絡(luò)安全預(yù)算的 19% 用于培訓(xùn)和意識(shí)。擁有更強(qiáng)文化的公司平均花費(fèi)的份額是其兩倍多（43%）。

ROCeteer 首席技術(shù)官 (CTO) Heather Wilde 在ISACA博客文章中介紹了研究結(jié)果，指出安全文化投資的好處不僅僅限于安全。大多數(shù)受訪者 (66%) 表示，他們的組織經(jīng)歷了網(wǎng)絡(luò)事件的減少，但王爾德指出，許多其他好處是面向客戶的：提高信任、增強(qiáng)聲譽(yù)和增加收入等等。

如何最好地分配安全預(yù)算的問(wèn)題沒(méi)有簡(jiǎn)單的答案，而且最佳方案因企業(yè)而異。但是，對(duì)公司當(dāng)前安全態(tài)勢(shì)和文化的全面評(píng)估，以及對(duì)安全如何有利于業(yè)務(wù)目標(biāo)和實(shí)現(xiàn)公司使命的評(píng)估，可以為 CISO 提供優(yōu)先投資的路線圖。