“让安全与业务保持一致”,这是许多网络安全资深人士经常说的一句话。但实际上,这只是个美好的愿望,绝大部分组织机构中的安全就是个成本中心。虽然成本中心也会有很多价值,但更不幸的是,很难从安全成本中心将价值识别出来。
网络安全与业务保持一致的两个步骤
基本上来说,让安全与业务保持一致需要两个步骤。第一步是理解业务语言,因为所有企业的通用语言都是财务指标。大家都有自己的成本效益(ROI)衡量标准,比如零售业每平方英尺的销售额或医疗保健行业每名患者的治疗成本。因此,我们需要在网络安全方面,开发出类似于企业其他部门或业务线的ROI方法和指标。
第二步是开发方法和指标,以确定效益成本分析和以价值(而非利润)方式的投入回报。一开始,可以使用作业成本法等成本核算方法,来计算成本。或使用盈亏平衡分析,来评估投资。它可以很简单,比如明确投入的金额以定性地判断投入是否“值得”。很可能许多组织已经在这样做,但没有将其清晰明确。
进一步地,如果在一个解决方案上花费100万是“值得的”,那么这个解决方案能够通过减少风险带来的相应价值至少要超过100万。这种方法可称之为投入下限,既一个组织愿意为网络安全付出的支出总额,要少于因没有投入而减少的业务收入,当然也包括因缺乏安全措施而带来的损失。
一旦有了这些“经济账”,事情就会变得非常令人兴奋。企业就能通过查看财务比率,如控制成本、会话成本、损失价值比等,来明确“网络安全是否与业务保持一致”,并非常便于下一次的决策。
曾有一些人表示过,“不惜一切代价”确保安全。但这绝不适用于以“赢利”为存在目的的企业,只适用于安全需求大于经济利益的某些较为极端的情况。
