制定恰當?shù)男畔踩?guī)劃

事實上，絕對的安全是做不到的，也是不需要的。企業(yè)需要做的是，通過恰當?shù)陌踩刂?，尋求將風險減少到可接受的水平。而在這一過程中，將精力放在制定有效的戰(zhàn)略規(guī)劃，可以更好地幫助企業(yè)走出危機四伏的困境。

目前，大多數(shù)首席安全官（CSO）可能并不將精力放于擬訂戰(zhàn)略規(guī)劃上，只是有此要求而已。對此喬治亞大學的首席信息安全官（CISO）Stan Gatewood來說，這種選擇有著成堆的理由。

“您的生活中會伴隨著經(jīng)濟活動，您也會從事社會活動?！盙atewood說，“這些您都可以找到相關(guān)技術(shù)幫助，有相關(guān)法律法規(guī)遵循，但信息安全的商業(yè)戰(zhàn)略規(guī)劃卻無法從專業(yè)書藉或研究資料中卻找到有幫助的適用法則?！?

盡管如此，Gatewood仍表示戰(zhàn)略規(guī)劃是需要的。“如果您沒有具體規(guī)劃，你又如何能知道你所做的一切是否正確？”他問道，“您只能摸著石頭過河，被動地對遇到的每件小事做出反應(yīng)?！?

畢竟，這是企業(yè)和信息安全團體多年以來的運作方式：遇到問題，處理問題。由于信息安全部門是這樣的被動，只有遇到事情才采取行動，使得他們對未來毫無把握。

但現(xiàn)在這一切都在漸漸發(fā)生著改變，因為首席安全官和首席信息安全官們開始認識到制定戰(zhàn)略規(guī)劃來作為行動指導的價值所在。就核心思想而言，戰(zhàn)略規(guī)劃不過是按照商業(yè)目的設(shè)定目標，然后不只規(guī)劃未來幾個月而是規(guī)劃未來幾年內(nèi)如何達成這些目標的一個過程。

當然，許多CSO都做過計劃，但多數(shù)還是與財政預算密切相連的年初戰(zhàn)術(shù)計劃。CSO們已知如何創(chuàng)建和執(zhí)行一個戰(zhàn)術(shù)計劃，他們聲稱戰(zhàn)略規(guī)劃可幫助他們合理利用資源、獲得安全主動性支持和與商業(yè)目標對齊，不用再在危機到來時手忙腳亂采取應(yīng)急措施。

“這對CSO來說是真正的好事?！逼杖A永道咨詢服務(wù)部安全工程師James Quinnild表示，“首席安全官手上管理著更多的資金，他們對企業(yè)未來應(yīng)更有遠見，也有更多的人總是問首席安全官們，你們?nèi)绾喂ぷ?？你們具體做了什么？你們是如何安排所做工作的優(yōu)先順序？”一個思慮周密戰(zhàn)略規(guī)劃能幫助很好地回答這些問題。

特別是在瞬息萬變的信息安全領(lǐng)域，規(guī)劃未來可能是飽含危險的：技術(shù)時刻發(fā)生變化，新威脅也不斷產(chǎn)生。盡管存在這些問題，但如果你想讓企業(yè)走出危機模式（Crisis Mode），適當戰(zhàn)略規(guī)劃過程是至關(guān)重要的。以下戰(zhàn)略規(guī)劃開始的五個步驟。正如你所看到的，這不是什么高深理論，只是一些對信息安全的戰(zhàn)略規(guī)劃很適用的淺淺道理。

擬訂大體規(guī)劃

Gatewood兩年前開始在位于美雅典城、擁有33000多名學生的喬治亞大學工作，當時他所做的第一件事就是讀完他所能找到的每一份大學商業(yè)規(guī)劃。其中，最重要是發(fā)現(xiàn)了大學校長寫的一份五年規(guī)劃。這種大體方案可幫助首席信息官擺脫戰(zhàn)術(shù)模式（Tactical Mode）。Gatewood 表示：“我從中看出我們大學的具體發(fā)展方向，從而在這基礎(chǔ)上著手創(chuàng)建了安全戰(zhàn)略目標。”

例如，在該校校長所寫規(guī)劃中以吸引一流教授為優(yōu)先。Gatewood確定他的部門也以這一目標為優(yōu)先?！叭绻阋巡扇⌒袆?，且表示‘需5萬美元來建立一個防火墻來保護研究群體’，光這是不夠的?！盙atewood表示，他將完全依據(jù)研究群將滿足大學的已成形戰(zhàn)略和目標的方式來定位他的目標。“我想說一下，如果一個教授對將使用的技術(shù)無法信任，你如何能吸引他（她）來做高級研究呢？”有時一點語義改變結(jié)果就可能完全不同。

戰(zhàn)略規(guī)劃

基于商業(yè)目的設(shè)定目標，且不是規(guī)劃未來幾個月，而是規(guī)劃未來幾年內(nèi)如何達成這些目標。

然而，僅僅只是閱讀商業(yè)戰(zhàn)略還是不夠的。CSO的戰(zhàn)略規(guī)劃過程中需要商務(wù)人員加入，來確保安全防護往正確方向發(fā)展，也幫助你的計劃獲取相關(guān)支持?！捌髽I(yè)的預算有限，企業(yè)什么能做或不能做都受到一定限制?！盋onocoPhillips公司前任安全主管Bobby Gillham表示，“你必須使他們相信一個安全的強化措施是真正能使企業(yè)獲得最好收益，這樣他們才會同意為此買單?！?

“你對安全的改善不能只在本期預算過程考慮，考慮時間起碼包括未來三年左右?！?Gillham表示，“這樣你可能得到企業(yè)領(lǐng)導對某一特定項目的長期支持?！比绻骋惶囟ú块T在下一個財年的預算中并沒有包括你的項目，你可以在他們的來年的規(guī)劃中獲得合適的預算。你甚至可以尋找一個方式把開支分攤到多個年份中去。規(guī)劃的長遠考慮可以幫助你達成不能靠一個年度的預算就能實現(xiàn)的目標。

不忘風險評估

在你了解商業(yè)優(yōu)先目標后，要做的第二步就是估算出可能遇到的安全風險，從而幫助企業(yè)不斷達到目標。這就需要做一份風險評估。在雅芳公司（Avon），其全球安全副總裁Robert Littlejohn在帶領(lǐng)部門高層主管召開每年為期兩天的戰(zhàn)略會議前，整整花了四個月來評估該過程。

評估從六月份開始，區(qū)域安全領(lǐng)導會發(fā)放表格給公司在全球的業(yè)務(wù)領(lǐng)導，用于評估他們所面臨風險，從自然災害到政治社會動蕩狀況都包括在內(nèi)。要求業(yè)務(wù)領(lǐng)導估計每個事件發(fā)生的可能性以及對公司的潛在影響。這項活動范圍遍及145個國家。到八月份，風險評估繼續(xù)做一份客戶調(diào)查，看看業(yè)務(wù)領(lǐng)導是如何看待安全問題及采取適當處理企業(yè)風險：已采取措施？未采取措施？他們最關(guān)心的是什么？

接著，區(qū)域安全主管會仔細檢查這些風險評估，驗證它們的正確性，如需要則做出適當?shù)母膭雍吞砑?。例如，?jù)Littlejohn回憶，雅芳公司去年在摩爾多瓦共和國一個業(yè)務(wù)領(lǐng)導指出一個高風險，說是這個國家的政府將會倒臺。為此，公司歐洲區(qū)域安全主管特地去了趟摩爾多瓦的美國大使館了解情況，和大使館的區(qū)域安全官員和政治官員進行了坐談，最后確定這個國家情況比那位業(yè)務(wù)領(lǐng)導指出的要穩(wěn)定。

以上所有情況表明，在規(guī)劃過程中，業(yè)務(wù)領(lǐng)導加入是不可少的，但有時也需有一位安全專家來確認風險評估的正確性。

這項專業(yè)技術(shù)順便還可能在安全部門的戰(zhàn)略規(guī)劃以外派上用場。它使得業(yè)務(wù)范圍戰(zhàn)略規(guī)劃過程中首席信息官價值無可估計。A.T. Kearney咨詢公司副總裁兼全球商業(yè)策略咨詢委員會顧問Paul Laudicina（《World Out of Balance》一書的作者）。他相信，一個企業(yè)想要成功占領(lǐng)全球市場就必須更了解如何管理各種各樣的風險，從軍事政變到傳染病到計算機病毒都需了解。一個首席安全官在這個過程就尤顯重要。

Laudicina 表示：“無論這些風險的管理原先是由CSO還是其他人負責，它將成為一個首席安全官是否有能力承擔責任的一項能力表現(xiàn)?！?

確立可衡量的目標

在做好上述基本工作后，也就到了開始將商業(yè)風險與商業(yè)目標聯(lián)系起來的時候。CSO必須有自己的策略。

策略的最上層的是CSO自己的目標。這些目標可以很簡單，就如你們所想要的那樣。在雅芳公司，Littlejohn最直接任務(wù)是：保護雅芳的人員、產(chǎn)品、利潤、財產(chǎn)、過程和名譽。在美國電話電報公司（AT&T），它的首席信息安全官Ed Amoroso的目標也同樣簡單：改善安全、減少成本和利用安全防護建立競爭優(yōu)勢。

同時，還需要策略簡化在未來幾年內(nèi)實現(xiàn)這些任務(wù)的方式。隨著計劃進展，它的針對性逐漸減少。CSO也可以選擇與董事會成員分享一份更少針對性的計劃，而在安全部門內(nèi)運行一個更詳細計劃。竅門就在于除考慮明年采用的戰(zhàn)術(shù)以外，CSO還要制定出未來幾年內(nèi)所要實現(xiàn)的目標。

例如，一個戰(zhàn)術(shù)計劃可能包括在不遠的將來安全部門將怎樣處理軟件補丁。但戰(zhàn)略的補丁管理則是大為不同的，它會根據(jù)首席信息安全官預期需加強補丁管理時間長短而發(fā)生變化。

“如果我們充分考慮后認為，軟件行業(yè)未來兩三個月內(nèi)不會出現(xiàn)更多Bug在他們軟件中，那么我們將不會決定投資建設(shè)一個補丁基礎(chǔ)設(shè)施?！盇moroso表示，“我的本能告訴我在接下來的兩個月內(nèi)，你不會看發(fā)現(xiàn)這情況會變得更好。但問題是在于什么時候會呢？”如果首席信息安全官預期他的團隊將不得不在接下來的五年內(nèi)安裝更多補丁，他可能決定投資來優(yōu)化這些補丁安裝的方式顯得很有理財意義。但如果他認為補丁只是一個短期解決方案，最終供應(yīng)商會創(chuàng)造出更好產(chǎn)品，他可能制定一個戰(zhàn)略決定來保持不斷地手工安裝補丁。

不過無論你如何設(shè)計，戰(zhàn)略工作的擬定都必須掌握兩個要點。一是你必須確保每筆資金最終都花在你的目標上（與商業(yè)目標密切相關(guān)）。Amorosos表示：“這完全決定于你的財政預算以及對某一年將實施的計劃的排列和優(yōu)先順序?！?

另一個要點是要找到可以衡量達成這些目標到何程度的指標。例如，Littlejohn已開始給在其評估報告上每件事分配一個數(shù)值：1（沒有實現(xiàn)）、2（部分實現(xiàn)）、3（完全實現(xiàn)）。年復一年地，這使他一目了然地知道他達成他的目標到何程度。他擁有自己戰(zhàn)略，并以此來論證它的進展情況。

“業(yè)務(wù)領(lǐng)導不像過去那樣輕易一驚一咋了?！弊詮?997年開始一直在信息安全部門工作的喬治亞大學首席信息官Gatewood表示，“如果你一露面就只是大叫‘天要塌下來了’，那么他們會告訴你‘我們?nèi)ツ?、上周早聽說了’。他們只相信鐵的事實和精確數(shù)字，他們想要的是可衡量的、可行的和可復驗的信息?！?

沒有確定的時間框架

說起年復一年的目標，人們總是頭疼于一個戰(zhàn)略計劃應(yīng)考慮多遠。我們在這兒最后一次告訴你答案：視具體情況而定。當然，傳統(tǒng)B類學校想法是規(guī)劃不能算是真正的“戰(zhàn)略”，除非已經(jīng)過一年多時間觀察。但事實上至少對于首席信息安全官來說，明確理念最大局限是兩年時間，特別是在企業(yè)走出反應(yīng)模式（Reaction Mode）的初始階段。

北卡羅萊納州的首席信息安全官Ann Garrett說：“所有你在商業(yè)學校聽到的所謂五年規(guī)劃都是垃圾。”對此，我們只能理解為她的意思是，這種五年計劃并不適用信息安全領(lǐng)域。

“你必須有高級目標，但你不能過于詳述超過14個月外的計劃?！碑厴I(yè)于北卡羅萊納州洛里市梅瑞迪斯學院的工商管理碩士（MBA）Garrett表示?！凹夹g(shù)在不斷發(fā)生變化，要預測事情進展情況是不容易的?！笨赡墚a(chǎn)生新威脅，法規(guī)可能會改變你的法律需求，可能獲得關(guān)鍵供應(yīng)商支持，種種情況都可能隨時改變，你不可能計劃所有事情。至于采取的處理方式，Garrett是盡可能多擬訂接下來兩年的計劃。由于北卡羅萊納州進行的是兩年制預算過程，因此她在這上面并沒太多選擇。她兩年規(guī)劃包含特定目標和達成目標的方式。此外她還牢記其2~4年的時間限制，以及時刻不忘最高目標。至于其他的，她感覺只是浪費時間。

總部位于倫敦的英美煙草公司集團安全主管David Burrill所持的則是另一種觀點。Burril一直在為公司做一個企業(yè)安全10年規(guī)劃。盡管看起來似乎有點自命不凡——一個計劃要管十年，但Burrill堅持表示他現(xiàn)在的設(shè)計與早在13年前他剛進公司那會在腦中所構(gòu)思很有相通之處。

“以前，許多前瞻性想法曾只是我腦中構(gòu)思?！盉urrill解釋，“我們發(fā)展安全功能同時一切都在發(fā)展，只依靠單打獨斗發(fā)展明顯已是不適當了?，F(xiàn)在我已有了更多其他想法，我周圍有高素質(zhì)人才，取代一個人想法，我們應(yīng)集思廣益。我們現(xiàn)在必須是一組人共同討論，然后最后決定未來我們的工作范圍。”

實施要靈活

事實上，如何推進計劃拓展是重要的，但如何靈活實施計劃則更為重要。

比如釣魚攻擊、間諜軟件，還有最新出現(xiàn)的Google hacking（攻擊者使用流行搜索引擎來做企業(yè)漏洞分析），都沒出現(xiàn)在三年前所做的規(guī)劃中，甚至在現(xiàn)在剛做計劃中也有未提及的。而一個好的規(guī)劃將幫助你更輕松地處理這些新威脅，讓你找到一個組織的方式去處理他們，因為你將能看出他們?nèi)绾芜m應(yīng)現(xiàn)有風險和優(yōu)先級。好的規(guī)劃甚至可以預先阻止新威脅對你的企業(yè)造成影響。

“讓我們假設(shè)你擁有的一家企業(yè)是使用密碼來遠程訪問郵件。”美電話電報公司的Amoroso表示，“我不能告訴你明天或是下周將會被黑客侵入。但我能告訴你如果采用雙重認證機制你將能解決更多因改變而卡死的問題。退一步來說，這是一個明智的決定，即使一個蠕蟲發(fā)動密碼從現(xiàn)在起的一年內(nèi)不斷地發(fā)起密碼猜測攻擊，也不會對于我們的用戶產(chǎn)生任何影響?！?

當然，如果你希望做到面面俱到時，萬事開頭難，計劃剛開始的第一步往往總是不容易的。但做好第一步接下來戰(zhàn)略規(guī)劃過程將更容易。一旦你開始進行，計劃必須得到不斷的更新，而不是只是按一種套路走。“這只是工作的一部分?！泵佬胖Z保險公司（Cigna）首席信息安全官兼高級副總裁Craig Shumard表示。他說，他的整個部門都在組織收集此類情報為戰(zhàn)略制定服務(wù)，有些負責風險評估，有些負責創(chuàng)建記分卡，其余的也各有各的工作，井井有條并不斷激勵著他。相比這些行為他甚至不能確定有多少時間花在擬訂戰(zhàn)略上。

只要你越深入一個戰(zhàn)略模式，你就會花越多時間在最重要的部分——商業(yè)價值的創(chuàng)造上。“總是會有一些回應(yīng)。”普華永道的Quinnild表示，“只要更好地前期規(guī)劃，CSO們就不用總是忙著解決出現(xiàn)的問題，而可以釋放出更多的時間來幫助企業(yè)來做些想做的事。我們的許多客戶表示‘大部分時間都用在碰到問題后恢復上’，這多少就是由于沒有一個具體戰(zhàn)略。我的回答是不必解決這個問題不是更好嗎？”

當然還有另一點，這對安全部門來說也是個贏取商業(yè)信譽的機會?！皼]有戰(zhàn)略規(guī)劃，我們只能被動地解決一個又一個問題、一次又一次危機?！庇⒚罒煵莨镜腂urrill表示，“如果做了戰(zhàn)略規(guī)劃，那么安全功能將一直保持其他功能所缺乏的真正意義。安全防護現(xiàn)在幾乎還只處于成長階段，將慢慢成長成熟，達到應(yīng)有的可信度。” (ccw)