编者荐语：

管控对业务最重要的应用程序、数据和流程可以降低风险并节省资金。以业务为中心的方法可以激励安全和业务团队努力寻找提高效率和节省资金的机会，例如消除冗余的系统和流程。建议使用“风险=影响X可能性”公式，在 1 到 10 的范围内评估流程和资产。

资料来源：猴子的商业形象

图源：MONKEY BUSINESS IMAGES（图片上传者，可以译为用户MONKEY BUSINESS IMAGES，或者MONKEY BUSINESS IMAGES） / SHUTTERSTOCK

Gartner（高德纳，Gartner Group公司成立于1979年，它是第一家信息技术研究和分析的公司。它为有需要的技术用户来提供专门的服务。Gartner已经成为了一家独立的咨询公司，Gartner公司的服务主要是迎合中型公司的需要，它希望使自己的业务覆盖到IT行业的所有领域，从而让自己成为每一位用户的一站式信息技术服务公司。）预计，今年企业在信息安全和风险管理产品和服务上的支出将增长 11.3%，达到超过 1883 亿美元之巨。尽管投入巨大，但已经至少发生 13 起重大数据泄露事件，包括Apple（Apple Inc.，苹果公司，是美国高科技公司。2021财年苹果营收达到3658亿美元，由史蒂夫·乔布斯、斯蒂夫·盖瑞·沃兹尼亚克和罗纳德·杰拉尔德·韦恩等人于1976年4月1日创立，并命名为美国苹果电脑公司，Apple Computer Inc.，2007年1月9日更名为苹果公司，总部位于加利福尼亚州的库比蒂诺。）、Meta（Meta Platform Inc，美国互联网公司，原名Facebook，创立于2004年2月4日，总部位于美国加利福尼亚州门洛帕克。“Meta”，来源于“元宇宙”，Metaverse，意思是包涵万物无所不联。Facebook坚定地希望甩掉问世以来就牢牢被贴在身上的标签——社交媒体，要跳出发家领域社交媒体的“舒适圈”，着力开拓元宇宙e。） 和Twitter（推特，是一家美国社交网络及微博客服务的公司，致力于服务公众对话）。

为了更好地专注于安全支出，一些chief information security officers (CISOs，首席信息安全官) 正在将其安全风险评估从 IT 系统转移到保障业务运行的数据、应用程序和流程上去。

“如果你从纯粹的技术角度来看安全性，你很容易陷入‘我关注这个热点，因为其他人也关注’的境地”，福利管理软件提供商PlanSource（福利管理软件提供商）的副总裁兼CISO(首席信息安全官) David Christensen（大卫 ·克里斯坦森）表示，“事实往往是，最流行或最知名的新安全解决方更可能浪费资金，拖缓业务发展，尤其是当它与业务目标不一致的情况下。即使它有助于保护一部分业务，也可能不是业务或业务流程中造成最大风险或最重要的部分。”

FNTS（托管服务提供商）的CISO(首席信息安全官) Don Pecha（唐·佩查）对此表示赞同，并补充道：“公司的每个业务单位可能有独特的考虑因素，和独特的合规、监管或隐私应用程序，每一项业务都可能有独特的风险供董事会或高管需要考虑。”

YL Ventures（风险投资公司）的常驻CISO(首席信息安全官)、SANS Institute（美国系统网络安全协会，成立于1989年，是一个合作研究和教育组织。其项目目前已覆盖全球165000多名安全专业人员。从审计员、网络管理员到首席信息安全官，一系列人都在分享他们所学到的教训，并共同寻找应对他们所面临挑战的解决方案。SANS的核心是从公司到大学的各种全球组织中的许多安全从业者，他们共同帮助整个信息安全社区。）成员Frank Kim（弗兰克·金）引用了一名CISO(首席信息安全官)的案例，该CISO因提出昂贵的终点检测、响应和事件响应计划而被解雇，这些计划被认为不适合此类初创公司。“我们的重点是生存和收入增长，”Kim（金）说。“他没有意识到自己的工作不仅仅是提出一系列新的安全功能，还有业务支持。”

一、价值的新定义

调整安全与业务超出了证明安全支出的合理性的传统做法，比如警告黑客攻击的后果或试图证明ROI（投资回报率，是指通过投资而应返回的价值，即企业从一项投资活动中得到的经济回报。它涵盖了企业的获利目标。利润和投入经营所必备的财产相关，因为管理人员必须通过投资和现有财产获得利润。），Kim（金）说要接受安全是一个成本中心的观点，CISO(首席信息安全官)如何随着时间的推移管理总体拥有成本。Oportun（金融服务提供商）的高级副总裁兼首席信息官Tyson Kopczynski（泰森·科普钦斯基）补充道，这可能包括向首席财务官和首席执行官更新具体的成本削减情况，例如减少与安全供应商的支出，找到一种更便宜的产品来满足安全需求，或者改进内部指标，例如消除漏洞的平均成本。

Christensen（克里斯坦森）进一步建议阐明安全措施如何可以降低成本或提高生产力。例如，他说，网络应用程序防火墙不仅可以保护应用程序，还可以通过减少虚假和恶意流量来降低网络成本。此外，采用零信任架构和安全访问服务边缘技术，可以让用户在VPN（指虚拟专用网络。功能是：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现。）出现故障时不用手动部署虚拟专用网络来访问资源或中断会议，进而有助于提高生产力。

Kopczynski（科普钦斯基）补充说，CISO(首席信息安全官) 可以通过以下问题来挖掘这些改进，比如他们的组织是否正在使用安全工具中的所有功能，这些功能是否与其他工具重叠，以及该组织是否为许可证或太多许可证支付了多余费用。他说，实现价值最大化的方法包括考虑执行多种安全功能的工具，或者运行渗透测试、攻击模拟或攻击性安全活动，以证明工具可以抵御高风险的攻击。例如，他使用Titaniam（数据安全供应商）的加密引擎来支持多个数据保护用例，以及亚马逊和微软等云提供商提供的安全工具。他说：“我们还研究了提供多组保护的通用云安全解决方案，而不是解决一个特定的用例。”

首席信息官Rik Wright（里克·赖特）表示，在全球营销机构和咨询公司The Channel Company（植根全球 IT 渠道已逾 40 载，是全球 IT 媒体活动、专业咨询、创新教育及营销服务平台的标杆。），安全考虑深深根植在其商业战略和预算中。这包括需要满足欧盟的GDPR（General Data Protection Regulation，《通用数据保护条例》，前身是欧盟在1995年制定的《计算机数据保护法》。2018年5月25日，欧洲联盟出台《通用数据保护条例》。1.对违法企业的罚金最高可达2000万欧元（约合1.5亿元人民币）或者其全球营业额的4%，以高者为准。2.网站经营者必须事先向客户说明会自动记录客户的搜索和购物记录，并获得用户的同意，否则按“未告知记录用户行为”作违法处理。3.企业不能再使用模糊、难以理解的语言，或冗长的隐私政策来从用户处获取数据使用许可。4.明文规定了用户的“被遗忘权”（right to be forgotten），即用户个人可以要求责任方删除关于自己的数据记录。），以及遵守客户的安全要求。

避免威胁也是该公司安全价值等式的一部分，该公司将GreenPages（托管服务提供商）用于基础设施和帮助满足其安全需求。Wright（赖特）说，他看到一些公司在收到勒索软件攻击后花费了高达2000万美元的潜在商业威胁支出，所以他说，这为预防这种损失的举动，呈现出极为真实的价值。

二、了解业务需求

将安全支出与业务需求相结合，首先要了解什么对业务经理最重要。

Kim（金） 建议使用“风险=影响*可能性”公式，并在 1 到 10 的范围内了解你最重要的流程和资产是什么。“你的财务数据可能是 10，但你的人力资源数据可能是 7，因为这不是一个商业差异，”他说，“只需在风险计算中使用一个简单的评分标准，就有助于确定优先事项。”

Christensen（克里斯坦森）说，除了业务之外，CISO(首席信息安全官) 还必须咨询 IT 部门，以了解一种新的安全技术可能带来的管理负担，以及安全工具可以用来实现其价值最大化的所有领域。他使用dope.security的Secure Web Gateway（安全网页闸道）不仅可以控制访问，还可以了解用户正在访问哪些信息和网站，以及他们给业务带来的潜在风险。

行业标准框架还可以为风险评估提供通用语言和结构，如 NIST (美国国家标准和技术研究所)的网络安全框架。Christensen（克里斯坦森）说：“这很简单，不需要成为一名安全从业者就可以理解它，但它可以模拟你的成熟度，并有助于将其与业务利益相关者联系起来。”他补充道，它也基于行业标准，而不是CISO(首席信息安全官)的意见，并不断更新以反映新的风险。

不同的安全框架最适合不同的行业，Pecha（佩查） 说：“如果我在政府任职，我将与NIST（National Institute of Standards and Technology，国内一般叫做“美国国家标准与技术研究院”。成立于1901年，原名美国国家标准局（NBS），1988年8月，经美国总统批准改为美国国家标准与技术研究院，直属于美国商务部。NIST 是美国最古老的物理科学研究所之一。美国国会成立该机构旨在提升其工业竞争力，当时美国的测量基础设施处于二流水平，远远落后于英国、德国和其他经济竞争对手。经过一百多年的发展，NIST 早已成为顶级研究机构，在国际上享有很高的声誉。NIST 的测量范围无所不包，从智能电网、电子健康记录，到原子钟、先进纳米材料和计算机芯片，无数的产品和服务中都有NIST所提供的技术、测量和标准的身影。NIST 下设 6 大研究所，从事物理、生物和工程等方面的基础和应用研究，以及测量技术和测试方法方面的研究，对外提供标准、标准参考数据及有关服务。）保持一致，”他说，“如果你是一个全球性的企业，请应用 ISO/IEC 27000 （信息安全管理体系）系列标准。不需要经过认证，而是要遵守并了解控制措施，以便了解您的合作伙伴和您自己的安全需求。”

Johns Manville（制造商）的高级安全和网络工程经理Scott Reynolds（斯科特·雷诺兹）使用ISA/IEC 62443（工控信息安全标准，用于指导系统集成商、产品供应商和服务供应商等对自己的产品和服务进行安全评估。）标准，在业务经理、安全专家和供应商之间就共同术语（如共享共同安全需求的资产“zones（区域）”）达成共识。他表示：“这一过程还表明，我们对整个区域的风险水平达成了一致，而不仅仅是该区域的每一项资产。欧元区最薄弱的环节将影响欧元区内的所有资产。”

在Avid technology（媒体创作和编辑技术提供商），其CISO(首席信息安全官)和CSO（首席战略官） Dmitriy Sokolovskiy（德米特里·索科洛夫斯基）使用NIST（美国国家标准与技术研究院）的网络安全框架来衡量其安全流程的成熟度，并使用互联网安全中心的最高安全控制来制定具体的战术指导，他说，这突出了企业可以在其基础设施中轻松解决的唾手可得的成果。

三、对基准应用谨慎

一些 CISO(首席信息安全官) 对使用基准来将其安全支出与其他人进行比较持怀疑态度。他们说，这是因为公司对安全支出的定义可能不同，或者有不同的需求。他们还表示，基准测试通常不会描述组织如何以及为什么分配安全预算。因此，他们将基准作为预算编制的粗略指南，主要依靠自己的风险评估。

但 Kim（金） 警告 CISO(首席信息安全官) 不要拒绝 C 级的基准测试要求。“要求一个基准并非没有道理，”他说，“一个首席财务官不能说，‘我们无法将我们的每股收益与业内其他公司进行比较。’”他说，提供基准，但是是作为更广泛解释的一部分，即您的安全支出与其他公司相比如何，组织面临的挑战，以及您如何随着时间的推移降低安全总拥有成本。

Pecha（佩查） 说：“ISO(首席信息安全官) 应该描述当前的威胁和攻击”，并提供补救措施。他说，然后由董事会和高管来决定什么是可以接受的，需要做些什么来管理业务的整体风险，因为只有他们才有推动变革的影响力。

坚持让企业高管通过正式渠道了解商业风险，甚至是以书面形式，常常能说服他们同意拟议的安全支出。当Sokolovskiy（索科洛夫斯基）坚持这样的批准时，他说：“到目前为止，业务部门实际上是主动要求降低风险的。 ”

Christensen（克里斯坦森）说，以业务为中心的方法可以激励安全和业务团队努力寻找提高效率和节省资金的机会，例如消除冗余的系统和流程。通过业务整合，才能找到独特和创新的方法来解决业务运营数字化转型带来的问题。

作者：Robert Scheier（罗伯特 ·谢尔），特约撰稿人