作为一个安全管理和预算方面的新手,我正在试图制定一个有效的信息安全支出计划。对于做好战略性安全预算,你是否有任何建议呢?
Joseph Granneman:在过去十年中,信息安全技术已经得到了很多改进,例如下一代防火墙和改进的入侵防御系统。然而,在过去一年中,我们也看到非常多成功的网络攻击和数据泄露事故。现在攻击变得越来越复杂,我们需要新的防御技术来与攻击者进行网络军备竞赛。但攻击的复杂性并不一定是数据泄露事故激增的根本原因。
数据泄露事故的增加只是因为很少企业将信息安全作为战略重点。信息安全往往被视为成功部署新项目或新产品的路障,这种看法直接关联到信息安全产业的不成熟性。在乘客安全方面,汽车行业也经历着类似的阶段。安全带和安全气囊只是根据法律要求而被添加,因为开发更安全的产品需要更多时间,并要到很久以后才会带动汽车的销售。安全预算通常只是满足最低限度的合规要求,而没有被纳入企业战略,其实后者这样才更有效。
首席信息安全官或信息安全经理可以采取一些步骤来帮助将信息安全从开销费用转变为战略机会。下面是三个例子:
首先,安全领导很重要。大多数企业领导者对CISO的职能范围只有基本的了解。他们知道这个角色的存在是为了提供安全性和合规性。这种情况可以被视为是一个缺点,但这实际上是一个机会。这种模糊性为CISO提供了机会来为自己重新定义这个角色,同时可将对信息安全的看法从成本中心转变为战略合作伙伴。强有力的信息安全领导还可以从其他业务领导获得战略安全预算所需的支持。
其次,避免所谓的灭火式做法。很多安全领导掉入了只能响应的陷阱。这可能是由于缺乏资源、不安全的环境,或者习惯采用反应式做法。有效的安全领导者知道,为了构建有效的战略,他们不能总是远离前线。他们可能需要外包某些功能,或构建自动化流程来专注于更大的蓝图。这似乎有悖常理,但花时间来向领导层构建用例来获得更多资源,要比抓住键盘来编写新的防火墙规则有着更大的整体影响。
为信息安全战略性预算获得支持的最后一步是专注于制定和报告指标。安全领导必须非常坦诚地交代现有信息安全计划的缺点,并以指标和报告的方式展示可操作的数据,这是提供诚实评估的最佳方式。不同的企业安全部门可能会使用不同的指标,因为这些是企业特有的指标。有些指标通常会联系到企业提供的特定产品或服务,这些指标可能产生最大的影响;一个很好的指标示例是:通过企业开发的移动应用丢失个人信息的客户百分比。企业通过部署更强的安全做法,这个数据应该最终会减少,并可以以此要求战略性安全预算。
战略性安全预算可以帮助避免很多最近发生的大型数据泄露事故。这种预算类型很难以得到,因为信息安全领域仍然没有得到企业领导的理解。首席信息安全官或信息安全经理必须提供强有力的领导力来帮助这些领导了解战略性信息安全预算的价值。他们也需要让自己从日常灭火式活动中脱离出来,以便把重点放在高层次的战术,其中包括制定和报告指标数据。
笔者希望有这么一天,企业领导了解了信息安全在企业战略中的重要性,正如气囊和安全带对于汽车的重要性。现在是信息安全领域激动人心的时候,因为现在的首席信息安全官和信息安全领导有机会开拓出一条道路。 |
