企業進行任何的管理活動,其目的無非有以下兩點:一是希望得到更多的產出,能夠賺更多的錢;二是希望減少不必要的損失,降低可能產生損害的風險。
信息安全工作當然也不例外,企業逐漸投入越來越多的資源,配備越來越多的安全崗位人員,部署越來越多的信息安全產品,實施越來越多信息安全工作項目,當然希望能夠使信息安全工作的價值發揮到最大。
那么,信息安全工作的價值到底體現在哪里呢?下面先從控制風險、減少損失這個方面進行簡單的說明。
信息安全工作本身就是由風險驅動的,信息安全工作最直接的價值,當然是控制風險、減少損失。
雖然說明信息安全工作在這個方面的價值體現並不算太難,但主要問題是最高管理層可能聽不懂這么專業的內容,或者對這些技術細節問題不是很感興趣。
所以說,想要在控制風險、減少損失方面體現信息安全工作的價值,就需要將信息安全工作所起到的作用,用管理層能聽懂並感興趣的方式進行溝通,說白了就是要學會講故事。
那么,要想將這個故事講的足夠精彩,需要抓住哪幾個主要的脈絡呢?
首先,是抓住內部安全工作效果的脈絡
內部安全工作效果這條脈絡,無非是沒有太多的安全投入時,安全漏洞很多、安全事件頻發、安全損失很大,隨着安全投入的增加、安全工作的深入,安全漏洞越來越少、安全事件逐步降低、安全損失得到有效的控制。
這條脈絡講故事是不算太難,但關鍵問題是有沒有機會向大老板講,就算有了機會敢不敢將這些和盤托出。坦白講如果知無不言、言無不盡的講出來,這樣做的難度和風險無疑都是很大的。
曾經就有個企業的安全負責人,經常越級向大老板匯報安全問題,希望大老板能夠重視安全工作,而被直屬上級領導直接擠兌走了。這位安全負責人有次出差回來,發現自己的辦公室空了,所有東西都被收走了,然后憤而辭職。
如果造成這樣的結果,對企業來講當然是巨大的損失,對於安全工作來講,也是得不償失。
其次,是抓住外部安全威脅難度的脈絡
外部安全威脅難度這條脈絡,主要是說明外部威脅對企業造成損害變得越來越困難了。比起內部安全工作效果,外部安全威脅難度這條脈絡就不是那么容易說的清楚了,因為威脅是無處不在的,並且是很難衡量的。
當然,事情往往就是這樣,容易事情的很難讓人信服,內部安全工作效果講的再好,由於是站在安全工作自身的角度談問題,令人信服的程度就會大打折扣。如果能夠客觀的對外部威脅能夠進行一個分析,這會使安全工作所體現的價值令人信服程度大大增加。
舉個例子說明一下。
有個企業由於缺乏基本的安全控制,導致自身的大量客戶信息在網上被公開叫賣,而且每一條客戶數據都極其便宜,也就是兩毛錢一條數據。發現問題后,進行了基本的安全控制,效果立馬得到體現了,原來兩毛錢一條數據變成了一塊錢一條數據了。加強安全控制后,網上販賣的數據大大減少,而且數據的價格變得貴了很多,已經到了三、四塊錢一條數據了。
最后,是抓住第三方客觀評價的脈絡
第三方客觀評價這條脈絡,比較適合面臨着上級單位評級、監管檢查、安全審計的企業,對於一般性的企業如果沒有面臨這些合規需求,就算找個第三方來進行評價,也很難有說服力。
如何利用第三方客觀評價,使信息安全工作價值得以體現呢?下面舉例進行說明:
比如,在央企、國企的信息化測評中,信息安全工作是占一定比例的評分的,雖然所占比重不是很大,但也能夠從側面反映信息安全工作的價值。
在金融行業的監管檢查與風險評級中,信息安全工作的價值就能夠很大程度的體現了,如果信息安全工作效果很好,風險評級分數領先,會給企業客戶以信心,並帶來業務的增長;相反,信息安全工作開展不到位,會直接影響企業的風險評級,風險評級過低會被監管機構處罰,領導可能丟了烏紗帽不說,還會影響業務的發展。
對於上市公司,尤其是在美國上市的企業,面臨着薩班斯法律的約束,並且每年需要接受內控審計。在內控審計中,信息安全審計占有一定的比重,那么,信息安全工作所取得的效果甚至可能影響股價的走勢,影響主要投資者的信心。
企業信息安全工作,在控制風險、減少損失方面所體現的價值,今天就先描述到這里,下一次從提供服務、創造利潤的方面,再來深入闡述一下信息安全工作價值。