自2021年6月起,安在征文全新“改版”——“诸子笔会,打卡征文”。简单来说,我们在诸子云社群招募“志愿者”,组成“笔友群”,自拟每月主题,互相督促彼此激励,完成每月一篇原创,在诸子云知识星球做主题相关每日打卡,同时邀请专业作者群内分享,互通交流。我们的目标,不仅是在持续8个月时间里,赢取累计8.8万的高额奖金,更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文,即诸子笔会月度主题来稿之一。
诸子云上海会长,历任多家金融机构、世界 500 强企业的安全负责人、安全专家,民革党员。近20年资深科技风险、信息安全、业务安全经验。
安全团队擅长分析网络安全风险并通过技术语言向大家体现安全风险,除了法律、合规要求以外,安全团队很难阐明网络安全的好处。鉴于网络安全的重要性,安全团队必确保以相关业务术语传达这些好处。
在法律、合规或安全事件以外,安全团队通常基于风险、威胁(夸大的风险敞口、即将发生的灾难事件、严重的司法处罚)向管理层、组织阐述安全的价值,这些无法有效体现安全的真正价值。因为重点是避免风险,而不是和业务成果相关的内容。管理层关心的是业务成果、业务价值,安全团队的工作能否帮助业务发展、能否帮助业务减少风险,安全团队的投入和产出是否对等。
因此,从业务角度阐明安全团队的价值很重要——因为没有办法证明商业经济价值的计划、预算可能没办法通过审批,管理层不需要阻碍业务的安全团队。
阐明价值的最佳语言当然是财务语言,因为都和钱相关。在法律、合规要求以外,能够最终靠计算被保护的资产和安全的成本来体现安全价值。例如:保险使用资产价格和风险触发因素来计算保费。但是,对于网络安全,无法计算被保护资产的价格。因此,很难量化安全支出产生的财务回报。
出现安全事件以后,各组织都会做多元化的分析,并撰写、出具安全事件分析报告。大家的事件报告里分包括这一些内容吗?
1.如果影响业务,可以借鉴历史业务收入、业务活动预算等来估算事件造成的损失。
如果包括,那么就有结合历史事件来体现安全团队价值的基础了。日常进行的安全软件开发生命周期、安全运营、安全演练、风险评估等安全团队的工作都会发现安全风险,并进行妥善的控制。这些工作就可以和前期安全事件分析报告进行结合。
例如:在安全软件开发生命周期的测试阶段,发现某个待上线的系统存在一项漏洞,基于历史事件和近期的业务情况,如果没有及时有效地发现这个漏洞,后续会造成XX金融的资金损失。这个金额,就是安全团队的价值,挽回了潜在的损失。
这些潜在的损失并不是随意产生的,而是按照历史事件和近期的业务情况计算得到的,而且均有对应的来源和相应依据。经过一段时间的统计汇总,就能体现安全团队在一定时期内经过控制风险减少的资金缺失(业务损失、客户赔偿、行政处罚、司法诉讼),甚至是刑事处罚。
将网络安全转向价值实现,要以严谨的视角基于业务导向,平衡成本收益,定义网络安全的价值,帮助高级管理层基于风险思考。
实施基于业务的安全战略,提供风险和安全服务组合的效能,需要业务、安全和IT之间的紧密合作。确认风险和安全服务的业务价值,首先要定义这些服务。我们通过创建风险和安全服务组合来实现这一目标。其次是为组合中的每项服务制定至少一个商业经济价值声明。只有这样,风险和安全服务的业务贡献和要求才会变得清晰,安全团队将可以在一定程度上完成提供业务相关性能所必需的变更。
我们将保护水平协议(PLA,protection level agreements)定义为定义成本的所需保护水平(级别),以满足业务目标。PLA类似于服务水平协议(SLA),安全团队中的大部分人员只专注于自己工作并且只用技术语言沟通,而不是与业务团队合作,解决业务痛点从而获得价值。因此,无法与业务人员产生共鸣,而且相互认为对方没有帮助自身,而是给自己设置障碍。
如何产生共鸣?在最简单的层面,采用对方能够理解的语言做沟通,而且要进行针对业务价值的介绍。
每年的国家网络安全周,都会有网络安全竞赛和安全技能评比。一个新建立的安全团队,或者短期没有办法进行事件分析积累的情况下,能够最终靠参加外部竞赛、评比并获奖的方式,提升安全团队在组织内的知名度,体现名誉上的价值。部分竞赛、评比可能会出现直接的奖金收入或带来减税的财务收入,但安全团队的最大的目的是服务所在的组织,安全团队不可能依靠竞赛、评比生存,但竞赛、评比能够在一定程度上帮助安全团队锦上添花。
上述两种体现安全团队价值的方式都有前置条件,体现安全价值并不是一个简单而容易实现的过程。
其次,安全团队要能给业务运营带来线.保护和提升企业品牌及其相关价值。这些措施包括防止安全事件对企业价值及其企业形象造成负面影响。
3.业务流程可用性。除了面向客户的流程的明显重要性之外,还一定要考虑对后台系统、流程(例如:财务系统和办公自动化)的影响,不能明显牺牲效率。
4.敏捷性和适应性。需要更快地响应业务和技术环境的变化,利用新技术、新方法安全地开发新产品。
6.关注监管环境的变化。评估法律或法规变化对安全的影响,并及时作出调整完善。例如,《个人隐私信息保护法》马上就要实现了,收集的员工数据是不是都得到单独同意。
很快就要到年终总结的时候了,大家赶紧准备起来吧,希望我们大家能向董事会、高级管理层体现安全团队的价值,有一个不错的年终绩效。另外,安全团队的成员有经济、金融、财务类的能力也很重要,一方面能够让安全团队理解价值并方便价值沟通和体现,另一方面也能帮助自身做好财富管理。
欢迎大家就数据安全开展讨论沟通。如果要在其他文章、会议材料中引用以上内容,请注明“来源:锐少”
检察院只知道领工资?8名男子被00后女生谎报,其中3人竟被拘留逮捕
长安汽车:有关“长安汽车收购高合51%股份”、“长安将接手高合汽车”等网络信息不实
宏碁非凡 Go 轻薄本上架:14 英寸 2.8K OLED,4999 元起
消息称大疆将在 4 月推出“无云台版”如影 Ronin 4D 一体电影机
