高管總想削減預算，CISO需有靈活的結構以改進基線評估和目標、戰術及能力。

[[242862]]

大多數現代企業都將網絡安全視為重中之重，這不算什么秘密。但風險管理公司Marsh最近的一份調查報告揭示，僅1/5的公司企業有工具可以管理網絡攻擊風險——盡管高管宣稱網絡攻擊是其首要風險管理關注點。

為什么認知與實際行動會倒掛?這往往是因為安全產品及工具似乎沒有能直接影響商業結果的投資回報(ROI)，也就讓安全人員難以在公司里倡導購置這些工具。

公司企業難以量化網絡安全投資價值的同時，需重點指出的是，真正的ROI來自于防護公司免遭實質性損害。Juniper Research 的一份研究預測，到2019年，數據泄露將令公司企業損失2萬億美元以上。因此，鑒于防損和公司底線之間的直接聯系，聰明的安全在成本節約、信譽保護等方面值回票價。公司企業知道自己需要關注安全，但想要真正獲得高管支持，安全團隊需證明ROI——正確的ROI，并提供清晰的實現計劃。

同時，傳統信息安全角色不斷擴張，如今的安全角色已超出了安全運營的范圍。安全人員現在身兼多責，不僅僅要確保安全工具正常運轉，還需證明實現特定工具的需求是合理的。

面對領導層的這種新考驗，安全團隊該怎么讓高管理解應將安全從一開始就植入產品和過程以避免在遭遇重大安全事件之后才亡羊補牢呢?做張安全路線圖可幫助規劃說服高管掏錢所需的戰術性行動。

一張在CIO下創建靈活安全結構的有效路線圖，有4個支柱：

• 安全監管：包含企業治理和關鍵績效指標(KPI)跟蹤。
• 信息風險：內部風險管理項目的設計及可持續性，可跟蹤企業整體風險和可接受較高風險水平之例外情況。
• 安全架構和工程：與跟蹤并緩解風險的安全控制及工具的主動持續部署有關的內容。
• 安全運營：利用以上3個支柱監視并報告事件的運營模型。

以此為基礎，以下4步可助信息安全人員將路線圖付諸實踐。

實踐 1：評估風險、資產及資源

應先識別并登記最需保護的資產。什么東西對你的公司最為重要?你系統和數據面臨的最主要威脅是什么?然后你得理解這些資產遭遇網絡威脅的可能性。如果你的安全團隊人手不足，不妨在必要的時候利用其它團隊或外包出去。一旦完成評估，應選擇要遵從的安全框架來保持項目正常運行，比如美國國家標準與技術局(NIST)制定的安全框架——覆蓋了任意相關監管要求的。

實踐 2：更新信息安全策略

要獲得高管支持，得從經理層開始一級一級往上。更新現有策略并創建通用安全標準，可在高風險領域給他們提供指南。經理也會受益于從風險評估到商業用于的轉譯和使用與高管層一致的標準。

實踐 3：發現所需的新控制并部署它們

確保記錄下每一個ID對數據的所有訪問——這需要日志管理工具或安全信息及事件管理系統(SIEM)。

限制特定數據只能被特定人員訪問通常是個不錯的做法。另外還應要求唯一的系統用戶名和口令，并清除組賬戶共享。數據防泄漏對于確保沒有敏感數據被郵出公司而言非常重要。一旦做好測試這些控制措施的準備，你應使用分階段的做法，以確保這些控制措施被集成到新基礎設施及應用部署的軟件開發生命周期中。而且，測試過程中，你不應僅注意解決方案在技術上是否有效，還應關注是否會給你的雇員或過程帶來過重負擔。

實踐 4：教育你的員工、管理層、供應商和客戶

準備好推出新策略時，你需著眼內部及外部教育。在內部，你應解釋員工需遵從的規則，以及不合規可能面臨的后果。定期安全培訓會促進良好安全意識的養成，做到“公司安全我有責”。對外，你應讓供應商和客戶都知曉你的新策略，讓他們知道合規所需要求。

雖然企業總想給預算瘦身，一張有效的路線圖是引導內聚作用的最快方式。路線圖可使你改進基線評估和目標、戰術及能力。通過有效計算風險，從管理該風險的角度闡述安全產品的價值，以及合理化安全產品在預算中的位置，信息安全人員將能夠說服高管，留下預算。

Marsh報告鏈接：

https://www.marsh.com/us/insights/research/global-cyber-risk-perception-survey.html

Marsh報告下載地址：

https://www.marsh.com/content/dam/marsh/Documents/PDF/US-en/Marsh%20Microsoft%20Global%20Cyber%20Risk%20Perception%20Survey%20February%202018.pdf

【本文是51CTO專欄作者“”李少鵬“”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文