专注于对业务最重要的应用、数据和流程可以降低风险并节省资金。
Gartner预计,今年在信息安全和风险管理产品和服务方面的支出将增长11.3%,达到188亿美元以上。但尽管有这些支出,但至少已经发生了3起重大数据泄露事件,包括苹果,Meta和Twitter。
为了更好地关注安全支出,一些首席信息安全官 (CISO) 正在将其风险评估从 IT 系统转移到保持业务运行的数据、应用程序和流程上。
福利管理软件提供商PlanSource的副总裁兼首席信息安全官David Christensen说:“如果你从纯粹的技术角度看待安全性,很容易迷失在我需要这个产品中。因为其他人都有它,现实情况通常是,最受欢迎或最知名的新安全解决方案可能会浪费金钱并减慢业务速度,尤其是在与业务目标不一致的情况下。即使它有助于保护业务的一部分,也可能不是业务或业务流程中产生最大风险或最重要的部分。”
托管服务提供商FNTS的首席信息安全官Don Pecha对此表示赞同,并补充说:“公司的每个业务部门都有独特的考虑因素,以及独特的合规性、监管或隐私应用程序,每个业务都有独特的风险供董事会或最高管理层考虑。
风险投资公司YL Ventures的首席信息安全官、SANS研究所研究员Frank Kim引用了一位CISO的案例,他在建议昂贵的端点检测以及被认为不适合此类初创公司的响应和事件响应计划后被解雇。Kim说:“他们的重点是生存和收入增长,但并没有意识到他的工作不仅仅是提出一系列新的安全功能,而是业务支持。”
价值的新定义
使安全性与业务保持一致超越了证明安全支出合理的传统方法,例如警告黑客攻击的后果或试图证明投资回报率。对于内部企业安全团队,Kim表示要接受安全性是成本中心,并演示CISO如何随着时间的推移管理总拥有成本。这可能包括向首席财务官和首席执行官更新具体的成本降低,例如减少与安全供应商的支出,找到更便宜的产品来满足安全需求,或改进内部指标,例如缓解漏洞的平均成本,金融服务提供商Oportun的高级副总裁兼首席信息安全官Tyson Kopczynski补充道。
Kopczynski进一步建议解释安全性如何降低成本或提高生产力。例如,他说:“Web应用程序防火墙不仅可以保护应用程序,还可以通过减少虚假和恶意流量来降低网络成本。此外,采用零信任架构和安全访问服务边缘技术可以帮助提高生产力,使用户无需手动部署虚拟专用网络来访问资源或在 VPN 出现故障时中断会议。
首席信息安全官可以通过以下问题来发现这些改进:他们的组织是否正在使用安全工具中的所有功能,这些功能是否与其他工具重叠,以及组织是否为许可证或太多许可证支付了太多费用。最大化价值的方法包括考虑执行多种安全功能的工具,或运行渗透测试、攻击模拟或攻击性安全活动,以证明工具可以击退高影响力的攻击。例如,他使用Titaniam加密引擎来支持多个数据保护用例,以及亚马逊和微软等云提供商提供的安全工具。我们还着眼于提供多套保护的通用云安全解决方案,而不是解决一个特定的用例。”
在全球营销机构和咨询公司The Channel Company,安全考虑已深深植根于业务战略和预算中,首席信息官Rik Wright说:“这包括从满足欧盟GDPR的需要到遵守客户的安全要求。
避免威胁也是该公司安全价值方程式的一部分,该公司使用托管服务提供商GreenPages进行基础设施并帮助满足其安全需求。我看到一些公司在勒索软件攻击后花费了高达20万美元的潜在业务威胁金额,因此防止这种损失代表了非常真实的价值。”
了解业务需求
要使安全支出与业务需求保持一致,首先要了解对业务经理最重要的因素。
Kim建议使用“风险=影响x可能性”公式,并在1到10的范围内了解您最重要的流程和资产是什么。Kim说:“你的财务数据可能是10分,但你的人力资源数据可能是7分,因为它不是业务差异化因素。仅仅使用一个简单的评分标准来计算风险,就有助于确定优先事项是什么。”
Christensen表示,除了业务之外,首席信息安全官还必须咨询IT部门,以了解新的安全技术可能带来的管理负担,以及可以使用安全工具实现其价值最大化的所有领域。他使用dope.security的安全Web网关不仅可以控制访问,还可以了解用户正在访问哪些信息和网站,以及它们使企业面临的潜在风险。
行业标准框架还可以为风险评估提供通用语言和结构,如NIST(美国国家标准与技术研究院)网络安全框架。Christensen说:“这很简单,没有必要成为安全从业者来理解它,但它可以模拟你的成熟度,并有助于将其与业务利益相关者联系起来,并补充说它也基于行业标准而不是CISO的意见,并不断更新以反映新的风险。”
Pecha说:“不同的安全框架最适合不同的行业,如果我在政府工作,我将与NIST保持一致。如果您是一家全球性企业,请使用 ISO/IEC 27000 系列标准。无需经过认证,但要合规并了解控制措施,以便了解合作伙伴以及您自己的安全需求。”
制造商 Johns Manville 的高级安全和网络工程经理 Scott Reynolds 使用 ISA/IEC 62443 标准在业务经理、安全专家和供应商之间就共同术语达成共识,例如共享共同安全需求的资产“区域”。他说:“这个过程还表明,我们同意整个区域的风险水平相同,而不仅仅是区域内的每种资产,该区域最薄弱的环节将影响其中的所有资产。”
媒体创建和编辑技术提供商Avid Technology,其首席信息安全官和CSO的Dmitriy Sokolovskiy使用NIST的网络安全框架来衡量其安全流程的成熟度,并使用互联网安全中心的顶级安全控制来提供具体的战术指导,他说,这突出了企业可以在其基础设施中轻松解决的唾手可得的成果。
谨慎使用基准
一些首席信息安全官对使用基准测试将他们的安全支出与其他公司进行比较持怀疑态度。他们说,这是因为公司可能以不同的方式定义安全支出或有不同的需求。他们还表示,基准通常不会描述组织如何以及为什么分配安全预算。因此,他们使用基准作为预算编制的粗略指南,主要依靠自己的风险评估。
但Kim警告首席信息安全官不要拒绝C级的基准测试请求。“要求基准并非没有道理,”他说。“首席财务官不能说,'我们无法将我们的每股收益与业内其他公司进行比较。他说,提供基准,但作为更广泛解释的一部分,说明您的安全支出与其他支出相比如何,组织面临的挑战,以及您如何随着时间的推移降低安全的总拥有成本。
Pecha说:“首席信息安全官应该描述当前的威胁和攻击,并提供替代方案来补救它们。然后由董事会和最高管理层决定什么是可以接受的,以及需要做些什么来管理企业的整体风险,因为只有他们才有推动变革的影响力。
坚持要求企业高管正式接受业务风险,即使是书面形式,通常也会说服他们同意提议的安全支出。到目前为止,业务部门实际上是自己降低风险的,因为他们拥有它。”
Christensen说:“以业务为中心的方法还可以刺激安全和业务团队努力寻找提高效率和节省资金的机会,例如消除冗余的系统和流程。通过业务协调,你别无选择,只能找到独特和创新的方法来解决业务运营方式产生的问题。”
作者:Robert Scheier
原文链接:https://www.cio.com/article/472730/why-it-leaders-are-putting-more-business-spin-on-security-spend.html
