尽管首席信息安全官(CISO)的角色越来越以业务为中心,但在许多企业中,安全作为纯粹的成本中心的概念仍然存在。精明的CISO究竟如何扭转这种局面呢?方法就是通过证明安全性不仅对业务成功至关重要,而且与其保护的数字基础设施和数据资产一样,也是业务发展的一种推动因素和竞争优势。
随着网络攻击的数量和复杂程度不断升级,企业将在来年再次增加其网络安全预算。普华永道《全球数字信任洞察报告》的结果显示,69%的企业预计将在2022年增加网络支出;26%的受访者预计增加10%或更多的安全预算。
即便身处攻击频发的时代,这样的数据也会促使“网络安全作为成本中心”的概念进一步深化。与此同时,这也可能导致CISO与其高管同事产生分歧,让其他高管领导人对从网络安全投资中获得的实际回报率倍感沮丧和困惑。
培训机构Cyber Leadership Institute首席执行官Phil Zongo表示,“许多商业领袖现在热衷于参与网络转型,但他们发现晦涩难懂的安全术语以及徒劳的指标总是令人深感沮丧。这让他们搞不清针对其业务的主要威胁、现有防御的强度或是需要进行哪些投资。他们觉得自己投入的资金如同石沉大海,因为网络安全团队很难将举措的价值转化为业务语言:金钱。”
不过,即便安全预算逐年增加,精明的CISO们已经找到方法摆脱“网络安全作为成本中心”的观念,他们是如何做到的呢?方法就是通过证明安全性不仅对业务成功至关重要,而且与其保护的数字基础设施和数据资产一样,也是业务发展的一种推动因素和竞争优势。
没有一种方法可以彻底消除“安全是成本中心”的观念,但通过采取下述5种策略可以帮助CISO让其他人将安全视为“价值中心”。
你的表达方式会影响别人对你的看法
Russell Reynolds Associates首席信息安全官Ahmed Jamil有句格言“不能衡量,就无法管理”,其提倡的想法是,你无法改进自己不知道和不理解的东西。
他解释称,“有时候,第一步要做的就是了解。你必须了解最高管理层和董事会对你的看法。”这是一个需要进行一些反思的步骤,以确定作为CISO的您是否被视为“致力于制定政策和战略的完整执行合伙人”,或者“安全是否仍然是事后考虑事项等等。
CISO们习惯表达“这就是在当前网络形势下,我们为确保企业安全所做的一切”。他们会向董事会展示“关于这项工作”的指标,但他们不会展示即将发生的事情。然而,CISO需要用商业术语来表达他们如何看待即将到来的事情,他们需要更主动地表明安全是创新中心,就像数字分析一样。
培养业务上的盟友
Zongo建议CISO“坚持不懈地关注利益相关者的参与情况”。
他解释称,“没有高管支持,任何重大转型计划都无法成功,网络安全也不例外。尽早让关键部门的利益相关者参与进来,并将他们的观点融入战略。当重要高管从一开始就投入其中的话,他们可能会全力支持网络转型计划。”
为此,CISO必须建立一个跨职能的网络风险委员会,由来自业务风险、法律、技术、产品开发、采购和财务的高级利益相关者组成。网络风险委员会为高层定下正确的基调,批准网络安全战略,并确保该职能得到充足的资金和良好的支持。
然而,一些CISO在充分参与业务的能力方面将面临挑战,许多CISO仍然需要向CIO报告。根据猎头公司Heidrick & Struggles发布的《2021年全球首席信息安全官调查报告》发现,38% 的CISO向CIO报告,只有11%直接向CEO报告。这种报告结构无疑削弱了CISO直接参与业务的能力。
Home Access Health公司IT副总裁兼安全官Pam Nigro表示,当CISO能够充分考虑企业整体目标时,他们所做的事情才能获得更多认同,并获得更多的支持。例如,如果CISO的美国公司想要扩展到欧洲市场,CISO必须了解并阐明安全职能将如何通过满足欧洲隐私法规和安全要求来实现企业业务目标,而不是去详细说明如何保护技术基础设施。
强调正面信息
近年来,一连串备受瞩目且影响深远的网络事件使网络安全成为董事会的头等大事。随着相关法规相继出台,以及消费者对该领域的期望上升,董事会也日益关注安全性。
JWC Partners 《2021年公司董事会调查报告》发现,安全在董事会最关心的问题列表中排名第3,紧跟在“公司战略”和“CEO/领导层继任”问题之后。然而,与此同时,谈到对该主题的理解,许多董事会成员却表现得不是特别有信心。
普华永道公布的调查结果显示,只有33%的受访董事成员表示他们“非常了解”公司的网络安全漏洞,53%的人表示他们只是“有点”了解这些漏洞,13%的受访者将他们的理解列为“不太了解”,只有1%的人承认他们根本不了解。
很长一段时间来,CISO一直苦恼于他们的信息被置若罔闻,他们的预算资金严重不足,他们被视为系统管理员。如今,董事会对网络安全的兴趣日益浓厚,这无疑为CISO提供了机会。
但Zongo建议CISO不要只关注可能出错的地方:恐吓强化了旧观念,即安全职能是一种类似于保险的成本。
软件公司Aquia CISO兼联合创始人Chris Hughes认为,“CISO应该从利用恐惧、不确定性和怀疑的陈旧策略,转变为关于网络安全可能对业务以及更广泛的利益相关者产生影响的正面信息。网络安全事件可能会对财务、监管和声誉等方面产生负面影响。虽然提醒您的业务同行注意这一点很重要,但它也会带来副作用。相反地,我们可以将信息转化为强大的网络安全态势会使企业安全运行,为客户和利益相关者创造最大价值,甚至成为市场同行间的关键差异化因素。总而言之,CISO应该展示的是通过避免网络安全事件将如何促进业务增长的正面信息。”
量化安全提供的价值
KPMG网络风险和威胁情报负责人Fred Rica表示,通过展示安全能够为企业带来的价值,同样能够帮助CISO摆脱成本中心观念。
Rica将安全定位为“确保企业安全快速前行的刹车装置”,而不是“减缓或关闭一切的紧急杠杆”。当然,你可以在没有刹车的情况下驾驶车辆,但我想结果一定不是你想要的,或者能够承受的。
因此,CISO应该强调安全性如何让客户与企业快速无缝地互动,让他们知道如果出现问题,“刹车装置”将能确保他们的安全。
而且,聪明的CISO知道如何表达和量化这一点。身为ISACA董事会副主席的Nigro承认,将安全性转化为实际价值对CISO来说极具挑战性。不过,即便再艰难,CISO也应该这样做。她表示,“量化正在发生的事情,而不是自己消耗的成本,才是高管们和董事会成员想要看到的。”
此外,她还建议CISO与他们的财务同事合作,培养完成任务所需的技能;她自己就是依靠一位精算师同事来学习如何量化她的安全职能贡献值。
Nigro曾在一家保险公司工作,该公司试图通过平价医疗法案(Affordable Care Act)交易所提供保险;她计算了提供参与所需的安全性成本,以及如果她的公司在参与截止日期前没有准备好必要的安全性,来年将会损失的收入。这使她能够从财务角度展示安全的价格如何与参与该计划带来的潜在收益相形见绌。
让安全成为差异化因素
CompTIA首席技术布道师James Stanger表示,将所有这些战略结合在一起的CISO能够将其企业的安全性定位为竞争优势,这不仅能够支持公司的敏捷性,而且实际上对公司的快速响应能力至关重要。
他解释称,“如今的CISO更具战略意义,他们应该是为组织的成功奠定基础的人。传统的想法是CISO旨在确保公司免遭黑客攻击。现在,CISO已经成为扩大业务的推动者。”
今天的CISO必须积极塑造企业内其他人对他们及其安全团队的看法;他们需要与业务职能负责人合作;他们还必须能够评估和阐明风险,并使用这些来评估安全的价值;他们擅长将安全视为业务运营的基础;他们知道如何证明安全其实是“机会中心”,而非“成本中心”。
