查看原文
其他

一文读懂如何在企业内传达安全价值

管窥蠡测 安在 2022-12-23



2022年亚洲黑帽大会上,当谈到该如何向企业展示网络安全的价值时,其呈现出最大的挑战之一就是“CISO、安全负责人、安全从业人员如何向C层高管传达投资回报率”。很明显,董事会和高层领导们很难根深蒂固地将安全视为生产力,而其他部门和领域甚至将安全视为业务上的障碍,这就使得安全部门和其他非技术管理人员很难站在同一立场。


在亚洲黑帽大会的一次主题演讲中,Gojek的CISO、GoTo Financial的网络专家George Do发表了关于“该如何让网络安全成为所有部门业务的重要组成部分”的演说,他表示,安全人员首先要学会有效地量化企业的安全性和安全工作价值。


他在题为“把安全方针从安全壕沟移到会议室”的演讲中问道:“作为CISO,在安全方面的所有拨款、所有招聘、所有项目、所有安全人员的血汗和泪水,这些和企业价值都有联系吗?它们对企业的收益而言有意义吗?对了,你必须要学会回答这个问题并说明原因。”




不要让沟通成为障碍

从现状来看,每家企业或多或少都存在部门之间缺乏沟通的情况,安全团队在企业内部经常会引来激烈的斗争。举个例子,大多数员工常常会这么误解,他们会觉得安全部门的存在是为了让每个人的生活变得更“艰难”,Do称其为“象牙塔的安全”,因为在其他人看来,安全机构似乎已被公司其他部门排除在外,安全部门就像一独立于公司之外的个体,所以其他部门在面对安全措施的推进时容易说“不”。

Do说:“许多组织、企业都将安全团队视为技术上的障碍,就好像我们不是CISO,而是CISNO,他们认为安全团队是在真空中做事,认为我们不了解业务,不明白业务对公司的重要性。这也就意味着大多数人对安全团队是不信任的。”

他补充道:“为了防护企业的安全,我们就会设置更多的流程,设置的流程越多,关卡越多,业务就越慢,摩擦也就越大。因此他们会说,安全团队在设计产品时,没有考虑好这些,都是因为安全团队,所以公司进程才变慢的。但事实上呢?”

DO指出,辩论企业该如何对待安全部门、该具备怎样的安全文化是没有意义的,但很明显,CISO、CIO和CTO之间存在沟通障碍。通常情况下,所有负责人会被一起拖到董事会的会议上,然而彼此之间并不在同一频率,这就很可能会使部门之间产生敌对关系,DO对此表示,CISO得认识到:其他与技术相关的负责人和安全部门之间是合作伙伴,大家要学会协作,而不是互相掣肘。

他解释道:“CISO不应该对着CIO和CTO怪罪道:‘看到这些安全风险了吗?正因为你们不注意所以公司才会有安全隐患,现在你们去处理吧。’最好的办法是一起合作,一起做安全演示,并一起向董事会展示,这样无论遇到什么问题,就都能提前有一个攻击计划。和CIO、CTO之间可以就如何建设这一攻击计划进行沟通。”

另一个重要的策略是提醒董事会成员,他们在公司里的权责更大。Do说:“董事会成员有他们的受托责任,这就意味着如果组织遭到黑客攻击或破坏,而董事会成员若没有关注组织的风险领域,他们将承担相应的法律责任。”

Do还指出安全人员需要考虑每一次安全措施的添加会为企业带来多少成本。他解释道:“在安全运营中添加的每一项工具和标志都会增加一点技术债务,所以我们必须要思考建立新流程的成本、工时、对业务的影响以及产品本身的成本。”

Do还制定了一个五管齐下的蓝图,用于向整个企业传达安全计划的重要性,以及如何量化投资回报率。



了解要传达的对象和受众


Do指出,在传达安全报告时,要使用董事会成员和客户能够理解的语言,其中包括了使用简单的经验和术语,避免使用行话和缩略语。

Cyren的CISO Michael Tamir曾对此表示道:“在向高层汇报时,CISO需要注意自己的言辞,如果用的词汇太过专业,则会让听到的人缺乏耐心。高层里少有安全专家,使用过多的术语会适得其反,高层成员不喜欢他们难以理解的内容。另一方面,大多数高层在听汇报时脑中同时还会处理其他事物,一旦被陌生词汇打断了思路则会使他们的思考效率降低。CISO得尽可能将技术层面的内容翻译成业务术语,简洁、合理、便于理解,可以将内容形象化,而不是使用大量的名词。”



而国内安全专家金昊曾说过:“向不同类型的领导汇报时所选择语言方式要有所不同。和业务领导沟通,得尽量从业务视角叙述汇报事项,比如一次外网攻击事件,汇报攻击涉及哪些业务产品,是否危及到核心的业务流程,未来运营方面可能会存在哪些数据指标不准确;和技术领导沟通,得汇报针对从业务系统架构角度分析,哪些结构存在风险,已发现的问题统计成数据,告诉领导哪些层级存在业务层风险,通过成熟的安全框架分析系统存在的问题;和公司CEO层面,得从竞对角度分析目前公司在合规层面以及外部威胁数据层面进行汇报,分析与竞对的差距,比如(等保、27001、个人信息保护等方面),外部威胁的数据从运营数据角度阐述威胁,比如活跃用户数异常增加,竞对用户或客数异常增加等。”

除了汇报以外,了解不同利益相关者的视角也很重要。CISO可能会将防火墙所阻止的攻击次数作为衡量安全成功率的标准,而infosec经理和主管则更希望了解那些能打穿防火墙的攻击到底是什么原理,以及企业自身的系统能否将它们检测出来并对其作出响应。再有,遇到安全事件时,CISO的焦点在于找出可以防止违规行为继续恶化的措施,而CEO和董事则更担心公司的运营状况,比如是否亏损、是否遭受停机或最终需要承担什么法律责任、品牌和声誉有无受损等。

DO说:“这些都是不同角度的问题,都同样重要,所以CISO要学会换位思考、将心比心。”



业务是安全的目标


“不要从指标开始入手。”DO解释说这句话听起来可能有点违背直觉,但在制定安全计划时,以业务为目标才是最重要的。我们知道,安全就是为业务所服务的,安全存在的意义就是保障业务的运营顺畅,所以才说网络安全负责人是数字化业务的关键推动者:“安全负责人有责任帮助组织平衡风险与收益间的关系”。

而若要将这责任细说,可以具体体现在这么几个点上,比如创建真正的风险和安全服务组合,明确帮助公司或高级管理层实现战略目标或保障其利益;或为风险和安全服务组合中的每项服务制定业务价值声明;再比如与关键业务负责人一起验证风险和安全服务,确保能帮助业务,并制定基于业务,可量化、可衡量的工作目标等。这些都是制定安全计划时,可以成为目标的内容。

Do如此建议:“不管是医院、政府机构,还是商业公司,都有自己的商业目标,所以可以从这些目标入手,这就是安全部门创造收入的方式。我们为行业提供安全服务,为他们考虑到在云端、在用户群或在合作伙伴身上的网络风险,以这为沟通的主线后再去告诉他们指标应该是什么。”



量化安全价值


现阶段,数字化的技术、商品与服务不仅在向传统产业进行多方向、多层面与多链条的加速渗透,而且在诸如互联网数据中心建设与服务等数字产业链、产业集群中更是表现出了不断地发展壮大。水涨船高,与此相辅相成的安全价值必然需要依靠数据、指标来进行价值宣传,这不但在汇报上提高了效率,也更能贴合实际,毕竟当所有产业都在转向数字化的时候,数据就是唯一的例证了。

因此DO表示,企业一旦定义了指标,组织的安全规划就应该保持一致,这意味着所有的项目、产品、劳动力、流程等投资都必须满足这些指标。

Do指出:“这些指标的信息应该是公开的,这样公司里的每个团队都知道安全部门的目标是什么了。作为安全人员你要牢记的是,用这些数字来衡量安全价值意味着什么,而不是只作定性陈述,你必须要能够传达它的内涵并不断突出重点。”

很多时候安全团队会收集许多数据信息,其目的在于根据事实和分析做出相应的决策,但这就会产生一个收益递减点,比如收集了太多重复或无用的数据。国外知名安全专家表示:“如果你手上没有数据,那么任何新数据都会极大地扩展你的认知并减少不确定性,然而如果你已经有了大量的数据,那再添加更多的数据并不会带来更大的价值。因此,你得收集有助于做出决策的数据,而不要舍本逐末。”



安全需要大家的参与


Do强调,安全需要企业所有人的努力。安全团队在面临安全建设时,常常一副“我们在和全世界战斗”的样子,而实际上,企业中的每位员工都拥有安全流程的所有权,因此应该和他们多作沟通,明确每个部门的安全职责和角色。

Do说:“即使是采购团队这样的部门也需要参与进整个安全流程。从现实来看,要确保一个组织的安全,需要的是整个组织都在维护安全,而不仅仅是安全团队在奋斗。认识到这一点,安全人员可以避免许多‘对谁负责、向谁咨询以及谁知情’的问题,这点非常重要。”

此外,安全从业人员还需要经常做向上的沟通管理,将外界以及同行的安全现状以及发生的安全事件分享给上级,同时坦诚公开企业当前的风险点与隐患,让上级知道一旦自身发生安全事件,相应的损失会是多少,而安全部门的预算达到多少可以消除或者减轻这些风险,即让上级知道投入产出比。如果管理层还是不重视,可以适时引入第三方审计公司或者相关管局等外部的压力。




权责要对应


一旦为其他部门确定了安全角色,明确了安全流程中谁应该对哪些板块负责,相应的,就必须要赋予这些部门等价的权力。

DO解释道:“授权意味着各部门是否有权力实现他们的安全目标,比如在修复漏洞方面,预算、流程、人员等是否能帮助部门来实现他们的职责,这是必须得相匹配的。”

最后Do告诫道:“实施这些最佳实践将是一段充满障碍的旅程,但坚持下去很重要。我们所有人无一例外地都在应对这一范式中的挑战,这意味着安全部门在实现自己的价值,我们正在推动安全的发展。”

是的,CISO、安全负责人、安全从业人员,他们是催化剂,他们的作用是让影响力从上至下横跨各个部门,广泛地渗透到每位员工身上,这是非常艰巨的任务,需要复杂的治理结构。因此,对企业而言,如何配合到安全部门,让他们更容易推动安全治理就变得极为重要了。企业还需明白的是,如果企业真的想做好安全防范,在风险上万无一失,那安全部门就必须拥有资源、拥有协作环境,这可使安全体系成为整个企业的架构和核心,也只有这样才能够更客观地整合各个不同职能部门中的利益相关方,将企业保护到位。



国内安全专家的建议


对于安全人员该怎么向企业传达安全部门的价值,国内安全专家如此建议。

某科技公司安全总监郑太海认为,安全不是一个抽象的概念,而是具体的数据和指标,最核心的指标就是安全事件,如果其他指标再漂亮,但是还是出了安全事件,一切努力都白费。在这个核心指标基础上,可以基于资产脆弱性、事前和事中的处置能力和效果、事后响应流程的完善程度等方面建立一些评价指标,动态展现在决策层的眼前。一句话总结,就是要让安全防护水平数字化呈现,并且守好底线。

同时,郑太海强调:“对安全从业者来说,在入职的时候就最好问清楚老板对安全的态度,如果企业本身不重视安全,或者所处的阶段处于野蛮生长阶段,完全顾不上安全,那对于安全人员来说就要谨慎选择了。对安全的理解是自上而下,不是自下而上的。有深度思考能力的企业,对于安全这件事老板自己想得比员工清楚。对安全无所谓的企业,只有把血淋淋的事件摆在老板面前可能才会引起重视。”

某保险支付企业安全专家金昊按照一个刚进公司的安全岗位员工的角度来阐述观点:“现在各行各业逐步都开始对安全人员有所需求,互联网、金融是用人大头,传统的制造业以及产业化转型企业也逐渐开始对于安全岗位有了强需求,从供需角度来看,需要从用人单位的实际需求着手,比如安全岗位要求可以满足监管,要能为公司在合规道路上解决政策性要求,还比如,如果同质化竞争比较激烈的行业,安全做的好不好可能更加能够得到客户的信任,那就要能对同行业的竞对有所了解,这样可以提出好的安全方案以及可以落地的建设。”

金昊表示,传递价值,其实就是让企业能够感受到安全带来的最直接的利益,安全都说是成本部门,往往成本大于盈利,所以短期内很难体现价值,真正可以体现价值的基本都需要长时间的沉淀和积累,这就需要说服BOSS,要有一个稳固的投入周期,无论是业务安全还是办公安全,都需要稳扎稳打。价值需要靠安全对业务的充分理解,方可提出建设思路,按照企业发展路径辅助进行。安全不是一蹴而就,遇到安全事件也不是说没有价值,遇到安全事件同样可以阐述价值,合规的建设、事件的溯源、应急的处理效率,都是可以体现安全的价值。

对此,金昊相对各行各业的企业说:

1.首先是要普法。企业要想合规经营,必须按照国家法律法规要求进行安全建设,该投入的人力资源,不能省。压缩安全成本,带来的可能是致命的隐患。

2.安全的必要性,无论是政策还是竞对,信息化时代,一个企业的技术壁垒,单纯靠人的自觉无法维持保密性,需要有技术支撑,安全建设不像建设系统,按照规划时间计划进度进行,安全建设是一个系统性功能,木桶效应很明显,必须综合建设,综合建设就需要有周期,体量越大的企业,建设周期越长,需要给予长期支持。

光大证券安全专家胡广跃表示,安全部门要采取看得懂、听得会、体会到、直观的方式进行展示,可以采取安全画像、实际风险类比提醒等,如捕获到哪个恶意组织对公司资产的攻击行为,曾经该组织的安全攻击行为让哪家公司(尽可能同行业内)造成多大损失(包括资金、声誉、监管处罚等)。日常实际工作及生活中,发生在身边的风险事件及遭到的损失或处罚。至于有什么话相对企业说的,胡广跃认为只有一句,那就是“安全守护,人人有责”。


某互联网公司安全负责人黄鹏华指出,要体现的安全的价值,首先要找到与管理层的沟通语言,大家在一个话语体系下才能把价值的事情讲清楚、说明白,也更容易获得对方的认可。其次要将监管政策、安全事件、公司业务的三者利害关系说清楚,相比修复了几个漏洞等,其他两个可以更好地诠释安全能给公司业务带来的价值,以及安全可以避免带来什么样的业务风险。


不满足监管政策要求,会直接给公司业务运营带来负面的影响;安全事件都是发生在别人身上已经造成实际影响的事情,可以直观地展示安全风险和安全价值。最后可以开展一些适当的安全培训,最好是可以结合公司切身发生的安全问题,或者同行业其他公司发生的安全问题,这样培训效果更佳,体验也更真实。



参考文献:

《CISO Shares Top Strategies to Communicate Security's Value to the Biz》



END




齐心抗疫 与你同在 



点【在看】的人最好看


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存