贏得安全投資的技巧

申請免費試用、咨詢電話：400-8352-114

英國油漆與特殊化學品供應商ICI公司的CISO（首席信息安全官）Paul Simmonds認為，通過系統(tǒng)地從財務角度評估企業(yè)安全態(tài)勢和提出改進建議，CSO（首席安全官）可以在企業(yè)董事會上贏得安全項目的投資。Simmonds說：“與董事會的交流必須從錢的角度來談。比如：不做這件事讓我們損失了這么多錢，具有這樣風險和好處的解決方案A花這么多錢，具有那樣風險和好處的解決方案B花這么多錢，等等?！?/p>

他補充說：“很多安全經(jīng)理沒有經(jīng)過正式的業(yè)務培訓，他們通常是走IT之路上來的，因此可能不善于從財務角度講話?；蛘咚麄儧]有找到評估安全性來證明ROI（投資回報）數(shù)據(jù)的方法?！?/p>

咨詢人士建議從一些已知方法入手，定量地評估企業(yè)在安全方面做的如何。

咨詢師Tom Walsh建議CISO參考美國國家標準技術學會（NIST）的“信息技術系統(tǒng)風險管理指南”。Walsh認為，它是分析硬件、軟件、網(wǎng)絡設備和移動設備系統(tǒng)特征來確定“風險得分”的很好框架。

“一切都是基于風險或基于遵從性的。風險按可能性和影響來評分?！盬alsh說，“這種風險分析的目的是讓業(yè)務經(jīng)理了解情況，把選擇、費用和風險擺在他們面前，幫助他們作出業(yè)務決定?！?/p>

System Experts公司是一家專業(yè)從事網(wǎng)絡安全的咨詢機構，公司總裁Jon Gossels也喜歡用標準作為審查的基礎。不過，他偏愛的標準是被采納為國際ISO標準17799的英國標準7799，并將它作為定義企業(yè)安全性的基線。

Gossels說：“這項標準談的更多的是流程而不是控制以及是否有合適的政策。CSO可以把這些拿給管理層說：這是我們如何進行評估的依據(jù)，這是我們需要投資的領域?！?/p>

Gossels指出，通過標準定義企業(yè)安全性的主要優(yōu)勢是因為它是國際上普遍承認的框架。

ICI的Simmonds表示，BS/ISO標準“有助于推行使你能夠采集信息的良好實踐?！彼J為，NIST標準的缺點是它在美國之外沒有得到承認。Simmonds建議，CSO和CISO在找高級管理層索要安全資金時，應當避免喋喋不休地大談標準，否則，他們將失去興趣。

Continental公司信息安全主管Andre Gold贊同Simmonds的意見，他認為試圖與高級管理層討論BS7799/ISO17799或NIST標準可能是費力不討好的嘗試。相反，在與高級管理層討論安全技術時，需要一點巧妙的心理學。他說：“你交流的東西是安全技術如何能夠支持業(yè)務，使業(yè)務流程變得效率更高或保護業(yè)務的安全，而不是交流安全技術?！?/p>

 “以VPN為例，我描述使用它的結果?！盙old說，“例如，通過在Internet上使用企業(yè)到企業(yè)的VPN隧道，企業(yè)可以減少電信費用，確保所交換數(shù)據(jù)的完整性以及利用已有基礎設施獲得效率?！?/p>

他提倡利用更易于理解、同時也是構成安全部署框架基礎的“參考業(yè)務構件”來表達安全概念。  (cnw-ccw)