《遨游数字时代:全球IT高管网络安全秘籍》:
将1960年代的工作场所与2010年代的工作场所相比较。想想如实描述之前时代的美国电视连续剧《广告狂人》。很多经过适度培训的低薪工人在搬运邮件、打字、整理文件,进行速记。邮件收发室有一群群的秘书、一排排的办事员,以及其他人员。快速发展到今天,所有这些工作都消失了。
你现在看到的是IT和安全专业人员实际上已经取代了上面那些人。IT总监、首席信息安全官、首席信息官,这些都是1960年代并不存在的工作。以前是20位秘书和30位办事员拿着低工资,而我们现在是较少的员工拿着高工资。唯一要说的是,我们现在对他们以及他们为我们提供的技术的依赖性高了很多。
但这一进步已导致了我们可以称为“技术专家专制”的现象,技术成为我们的最大资产和最大潜在负债。计算机安全的目标不是保护计算机;保护计算机很容易——拔下插头,把它们锁起来。安全的目标是信息安全,这是总体信息管理的一部分。信息管理的目标是业务赋能。
如果你制造新产品,则需要IT做各种事,包括从工资单和内部沟通到业务流程,供应链管理、生产自动化、营销、销售、人力资源、招聘以及客户界面在内的每件事。首席信息安全官要问负责的安全实践如何支持效率、产品、服务和客户,而不是问信息安全如何确保合规。
首席信息安全官需要让指标和目标与核心业务的指标和目标一致。因此,首席信息官可以展示有效的VPN解决方案如何实现远程办公,这样能减少宕机和提高效率以及(你猜怎么着)卖出更多的新产品。安全的虚拟化平台可以让移动工作人员和客户访问数据,这样能提高客户满意度以及(等一下)卖出新产品。安全的支付系统允许在线订购以及(你猜到过)出售新产品。安全能促进销售,提高效率,实现强化产品的业务流程,降低成本以及确保合规和降低风险。但最主要的是售出新产品。
由于技术嵌入了业务,你可以采用新的业务模式。你可以在三分之一的员工在家里工作的情况下依然维持临界员工数量、社会参与和协作。你可以在世界任何地点和任何时间向客户提供专项服务。你可以在持续的实时信息和高级分析回路中连接你的供应链。实际上你可以做所能想象的任何事,就像我们看到的优步、爱彼迎公司等,他们利用网络技术打破了有几十年历史的陈旧业务模式。
但是,实际上,只有在连接和数据流得到保证的情况下才能做那些事。这意味着网络安全实现了合作、效率、生产率、敏捷性、成本降低、产品开发和创新。安全性能让组织通过以新的方式利用数据来增加收入和利润。在过去《广告狂人》的时代,一旦你销售做完了,难做的工作就做完了。现在,销售仅仅是关系的开始。数据收集、存储和分析变得至关重要,安全性也一样。让网络安全向业务目标看齐
如果最后的工作是让网络安全策略和投资与业务目标保持一致,那么大多数公司都还在探索如何实现飞跃。这项挑战的一部分与我们衡量首席信息安全官的绩效时使用的指标有关。
当我们根据硬件与价值比较来制定预算时;当我们按照与减轻的实际风险或提供给企业的总体价值无关的标准衡量网络安全绩效时,这成了一个问题。如果我们能阻止98%的攻击,我们的工作做得好吗?但我们漏掉的2%是不是毁灭性的?如果我们阻止了90%的攻击,但剩下的10%没带来任何冲击,我们的工作做得好吗?
当涉及预算和网络安全指标时,我们往往不能对我们作为一个企业最为看重的事情进行正确估价。这里,问题的一部分是数据安全的“火炉烟囱”:太多,或者更准确地说,太多不同的首席官员。我们有首席隐私官、首席信息官、首席信息安全官、首席风险官、首席执行官等,每位“首席”都有自己的保护领域,而他们的职责往往是相互重叠的。每位首席官员都认为自己的问题或解决方案对公司最至关重要。
首席执行官以及最高到董事会不得不平衡这些相互竞争的关注点。最近的美国证券交易委员会指南提示,网络安全应成为企业董事会的主要关注点,负责网络安全的人应直接(或更直接)向首席执行官和董事会报告,而后者应定期听取企业的网络安全情况汇报。
但是在进行情况汇报之前,首席信息安全官和安全人员需要学习如何讲首席执行官和董事会的语言,或者教会他们讲安全人员的语言。
作为一个群体,我们依然不知道如何估算业务某些重要方面的价值,特别是涉及网络安全时更是如此。我想说,大多数企业对于把数据收集、处理和分析赋予价值都没意见,但对于重视隐私等更隐秘的东西却很纠结。
我们不重视隐私是因为我们没对隐私赋予价值。我们当然可以评估数据泄露的代价。我们可以说数据泄露的代价是每条记录15美元,如果有100,000条记录,这次数据泄露的代价合计就是150万美元。这样算是有帮助的,但并不完美。
……
展开
