業務驅動安全:安全人員應當了解的7個業務指標
如今安全人員也得會用業務用語說話了。就從下面這幾個關鍵績效指標(KPI)開始吧。
1. 運營生產率
從基礎概念上講,生產率計算很簡單:產出除以投入,商數就是生產率。數字越大,生產率越高。
但麻煩就在于不好確定投入到底由哪些部分組成。要考慮的方面很多,比如資本、人工、材料等等,還要確定每個方面的權重是均等還是各有不同。無數論文、報告和書籍討論的主題都是怎么確定投入。
安全人員需要知道的就是:安全成本肯定是投入的一部分。這一點將在每年的預算方案制定的時候加以明確。
運營生產率指標對安全有用的事實可能不是那么明顯。確定產出——無論是阻止的攻擊還是范圍更大的什么東西,然后計算投入,可以幫安全團隊弄清在可用資源條件下有沒有做到盡可能有效。然后就能在制定預算和過程的時候以此信息跟公司其他部門拉鋸了。
2. 客戶忠誠度和保留率
客戶忠誠度的重要性不言自明:從現有客戶處接訂單總比出去發展新客戶省錢省力省時間。換另一種說法就是,用新客戶替換流失掉的客戶不是業務增長,保留老客戶的同時發展新客戶才是。
為什么客戶忠誠度和保留率對網絡安全而言也很重要?因為安全在留住客戶方面起著關鍵作用。首席,保護Web應用并確保個人可識別信息(PII)安全往往給交易增加一定的麻煩,而在當今流暢的網絡世界里,客戶討厭麻煩。
同時,調查研究表明,相比便利性,客戶如今更看重Web應用的安全性。客戶真正想要的是隱式安全。交付安全的方式對公司客戶保留率影響極大;從客戶忠誠度和保留率角度談論安全工作可以更高效率地與銷售和市場部的同事協作。
3. 毛利率
毛利率是公司高管和業務部門經理爛熟于心的幾組數據之一。其計算方式也很簡單:從總銷售額中減去所售商品成本,再除以該總銷售額。沒錯,毛利率計算公式中總銷售額用到了兩次,分子和分母上都有。你得到的是一個百分比,該比率越大越好。
網絡安全部門也應重視毛利率,因為各種安全開支也是算在所售商品成本里的。總的來說,業務主管總想讓網絡安全開支盡可能少,越少,毛利率就越好看。
所以,安全團隊有必要展現出安全預算的高利用率。網絡安全經理理解了毛利率的計算方式和自身工作對毛利率的貢獻,就能更有效率地與公司其他業務主管協商。
4. 每過程工作時間
各種意義上講,現代企業的產品成本中勞動力都占據著很大的比重。所以,弄清每個生產過程中耗用了多少個小時的勞動力就顯得十分重要了,而安全對這一指標的貢獻度可能超出你的預期。
維持Web應用安全需要多少小時的勞動時間? 安全經理常被高管問及緩解入侵或數據泄露花了多少小時,但預防這些入侵或數據泄露又需要多少小時呢?這些勞動時間都花到了哪些業務過程上呢?所有這些問題都是業務主管精確計算產品成本所需要知道的。
安全經理也只有給出這些問題的答案才能評價自己的安全工作是否有效果和有效率。在安全領域,有效性衡量已經成為共識,但對效率問題作出回應可以更好地將安全融入公司其他部門。
5. 客戶流失率
客戶流失率是客戶保留率相關問題的另一個審視角度。流失率是給定時間段內的客戶變動百分比。比如說,客戶數量上的變化——無論是增多還是減少。將這一增量(可正可負)除以相應時間單位再乘以總客戶數量,就可以得到客戶流失率數據了。
流失率綜合考慮了失去、獲得和保留的客戶,是客戶基礎波動性的良好指標,可幫助安全經理更好地處理新信息收集、歷史信息存儲和信息保護的問題。
流失率也有助于規劃網絡及安全設施容量需求。但更重要的是,流失率可以驅動安全、開發和市場營銷部門之間的協作,確保安全問題不對客戶流失造成太大影響。
6. 凈推薦值
廣義上講,客戶類型有三種:超喜歡你的品牌且樂意廣而告之的;覺得你的產品或服務還行的;超討厭你且不遺余力詆毀的。雖然銷售量往往是中間那類客戶撐起的,當今社交媒體環境下你最好最大化第一類客戶并控制第三類客戶數量。品牌是否成功就看凈推薦值高低了。
力拼凈推薦值的責任落在市場部身上,但安全團隊也要知道自身在愉悅客戶上所扮演的角色。安全有效而低調嗎?隱私策略是否合理而透明?數據泄露事件的披露和處理是否及時有效?所有這些都對凈推薦值有所貢獻。
成為市場營銷和銷售部的合作伙伴,理解凈推薦值的重要性,認清安全在提升凈推薦值上的作用,可以讓面向市場的協商更有效率,改善安全部門在營銷人員心目中只會說“不”的既定形象。
7. 客戶轉化率
潛在客戶很重要。實際客戶更加關鍵。將潛在客戶轉化為實際客戶的能力體現在客戶轉化率上。
在內外銷售團隊和銷售周報的經典銷售模式下,銷售經理可以查閱電話或到店咨詢的數量、新增潛在客戶數量和新增銷售轉化。這些數據一直都很重要,但對消費類企業而言,公司網站訪客有多少成為了實際客戶才是最重要的。
總轉化率中,安全部門需分辨出是哪些環節讓潛在客戶放棄了該轉化過程。如果是下訂單時的注冊或身份驗證步驟,那就說明網站的安全出現了問題。對客戶轉化率保持關注,確保安全不是轉化率下降的原因,你將在預算和規劃會議上得到市場營銷部的支持。
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
