尽管新闻头条频繁描述全球大规模数据泄露事件,但首席信息安全官 (CISO) 仍然难以向最高领导层证明安全投资的合理性。据Gartner称,安全支出仅占IT总资金的5.6%左右。
无论企业领导层最终批准多少安全预算,都需要 CISO 来优化资金分配。更多的资金可能会有所帮助,但前提是他们知道如何有效地使用资金——并且在第一次推介之前就开始计划。让我们仔细看看安全领导者可以采取的四个关键步骤,以最大限度地提高安全投资回报。
1. 评估风险、资产和资源
CISO 应首先彻底评估组织中既有价值又存在潜在风险的系统、数据和其他业务资产。如今,这构成了一个不断发展的网络,优先级将随着时间的推移而变化,以反映业务和威胁形势的变化。
Absolute 技术风险管理和数据隐私总监 Jo-Ann Smith 表示:“应该首先识别并记录最需要保护的资产。什么对业务很重要?系统和数据面临的主要威胁是什么?”
在您踏入行政办公室或董事会会议室以倡导安全之前,就需要进行这种评估。其调查结果将为安全计划的目标和预算建议奠定基础。购买的技术及其所服务的需求对于每个企业来说都是独特的。
换句话说,初步审查的结果对于不同的 CISO 可能意味着许多不同的事情。行业框架提供的通用模型可以帮助安全领导者确定优先事项并确定特定于其业务的差距。
Cyber Risk Opportunities 首席执行官 Kip Boyle 指出,美国国家标准与技术研究院 (NIST) 网络安全框架 (CSF)是评估网络风险的最佳方法。
他说:“我们发现,大多数公司在与供应商和客户签订的赔偿合同条款、反网络钓鱼培训、网络保险和危机管理规划等关键缓解措施方面投资不足。然而,这些对于减轻现代网络威胁都至关重要。”
2.使安全预算与业务目标保持一致
在向高管和董事会董事展示安全投资回报时,安全领导者必须讲金钱的语言。安全如何为企业服务?
Carbonite 首席信息安全官拉里·弗里德曼 (Larry Friedman) 表示:“在评估如何支出时,首席信息安全官应始终与业务保持一致。安全支出应根据与确保重要业务流程连续性相关的风险来计算。”
这超出了保护数据和维护法规遵从性的范围。寻找机会使用安全资金不仅可以缓解风险,还可以增加收入并实现其他业务胜利,例如提高生产力,有助于 CISO 将安全定位为动态业务推动者,而不是静态成本中心。
CISO 应实施自动化安全情报和分析工具,以减少安全团队的繁忙工作,并帮助其专注于更具战略性的项目。当您分析投资机会时,不仅要考虑它们的成本,还要考虑它们可以为公司节省多少或增加价值。
3. 雇用和培训优秀人才
经常令人遗憾的网络安全技能差距几乎没有缩小的迹象。国际信息系统安全认证联盟 (ISC2)最近的一份报告显示,全球网络安全技能缺口近 300 万个职位空缺,约三分之二的企业认为他们的安全团队人员不足。
毫无疑问,对安全计划的最佳投资之一就是拥有高效的员工。然而,在雇主寻求人才的紧张市场中,组织可能必须向内看并投资于培训员工,否则他们可能不会考虑从事安全职业。
通过培训已经属于组织的人员并招募他们从事安全工作,CISO 可以提供职业发展机会并建立安全团队,同时利用员工的机构知识。
4. 投资安全文化
有效的网络安全策略必须包括每位员工都重视安全的企业文化。但信息系统审计与控制协会(ISACA)和能力成熟度模型集成(CMMI)研究所的《2018年网络安全文化报告》发现,大多数组织仍在努力建立安全文化。此外,95% 的受访者指出他们当前的网络安全组织文化与理想的网络安全组织文化之间存在差距。
将安全文化融入企业意味着什么?这意味着让所有员工(从安全团队到高管团队)感受到对公司安全和风险状况的投入,并采取安全行为。对安全文化的投资可以包括意识培训、安全开发生命周期计划以及对表现出合规性和报告事件的员工的奖励等举措。
一些数字证明了这样做的好处:根据 ISACA/CMMI 研究,报告安全文化不足的组织将其年度网络安全预算的 19% 用于培训和意识。拥有更强文化的公司平均花费的份额是其两倍多(43%)。
ROCeteer 首席技术官 (CTO) Heather Wilde 在ISACA博客文章中介绍了研究结果,指出安全文化投资的好处不仅仅限于安全。大多数受访者 (66%) 表示,他们的组织经历了网络事件的减少,但王尔德指出,许多其他好处是面向客户的:提高信任、增强声誉和增加收入等等。
如何最好地分配安全预算的问题没有简单的答案,而且最佳方案因企业而异。但是,对公司当前安全态势和文化的全面评估,以及对安全如何有利于业务目标和实现公司使命的评估,可以为 CISO 提供优先投资的路线图。