CISO如何證明安全的業務價值

CISO必須以切實的金額清晰呈現其業務價值。

如果你是CISO或者其他層級的資訊保安官，下面的工作描述聽起來可能你會認同：

我的工作是管理資訊保安以保證企業安全。

而你的成功指標，也就是你用以讓公司其他人明白你價值的東西，可能與維護和改善技術層面的安全有關，比如修復的漏洞或達成的 NIST CSF 成熟度等級。

然而，以上說法僅對了一部分。事實上，與公司裡其他人的工作一樣，資訊保安官的工作不僅僅在於防護公司，而在於讓公司在可接受的風險水平上高效賺錢。

為取得職業上的真正成功，CISO必須以具體金錢數額的形式向公司證明自己的價值。也就是說，CISO要將自己的標籤從“最小化威脅和漏洞”，轉變到包含進“提供業務支援選項”上，即： 安全投資水平和相應風險之間的權衡要清晰地表達出來，以便做出明智的商業決策。

CISO需關注公司的戰略目標，重視支援首要業務職能的人員、技術及過程，要將技術層面上的安全納入整體考慮。以風險等級為例。大多數風險登記是以分類賬的形式執行的，在一個地方記錄控制缺陷、審計發現和策略例外，或者僅僅簡單分類可能留有隱患的一些事務，比如“遷移到雲端”。

這些條目可能就靠分析師的直覺分類為高-中-低階風險(很有可能就是中級)，或者乾脆不加區分地混在一堆。無論如何，都沒將這些“風險”與潛在經濟損失之類公司關心的東西聯絡起來。

人力資源與薪資服務公司ADP在這方面做得更好些，該公司是當今最佳網路風險經理人之一，擁有2套風險註冊管理規則。其首席安全顧問 Marta Palanques 在2017年的FAIR大會上這麼說道：

1. 每個條目都必須與IT資產相關，該IT資產又必須與產品線相關。例如，風險可能是資料中心受損——伺服器掉線，而這些伺服器上託管著負責產品運營的應用——產品是要為公司帶來盈利的。

2. 每個條目都必須根據FAIR(資訊風險因素分析)模型定義成“損失事件”，對網路風險進行量化，以具體金額的形式列出威脅的潛在頻率與影響(例如資料中心宕機造成的營業額損失)。

ADP這樣的風險登記清晰展現了網路安全的商業價值，闡明瞭量化才是重點。有了對損失事件的金額估算，CISO還能根據潛在損失的相對範圍確定出首要風險列表，例如，比較應用下線和與該應用相關的客戶資訊洩露所致損失的大小，然後取捨平衡。

取捨平衡過程中需要考慮緩解措施投資的回報。這一步中，風險分析師可以再次利用FAIR模型，在給定的風險分析中調整輸入，觀察可選情況。例如，實現雙因子身份驗證是否能將潛在損失減少到值回投資的程度？

接下來風險分析師可以審查實際的損失暴露面是否隨時間減小。他們可以識別出最能影響潛在損失的頂級風險的相關變數，跟蹤並定期報告這些關鍵風險指標。

網路安全價值主張的終極呈現，在CISO將網路風險量化工作完全整合進公司風險管理專案中，當他們能與市場風險和金融風險的守護者在同等條件下討論網路安全如何促進公司價值增值的時候，就自然顯現出來了。或許目標略遠大，但只要確實邁出第一步，在FAIR這種標準風險量化模型的基礎上有條不紊地衡量網路風險，CISO的價值終將得到公司承認。