赵锐：从网络安全转向业务安全的价值实现

从网络安全转向业务安全的价值实现

文 | 赵锐

赵锐

世界500强中国区信息安全和风险负责人，联合国ITU-T DevOps国际标准核心编写专家、CSA云安全联盟专家、网络安全进校园活动特约讲师、全球运维大会金牌讲师优秀讲师、ISG网络安全技能竞赛专家、金融网络安全优秀解决方案评委、网络安全公益-热心公益达人、CCSF优秀首席信息安全官、诸子云上海理事长。

前言

网络安全“值钱”吗？看到这个标题我就在想，这就是计算网络安全人员的价值，网络安全人员的产出。学过统计分析的同学都知道，有定量分析和定性分析两种方式，不知道各位网络安全管员如何进行年终总结，体现团队、个人对部门、组织、社会的价值。每当在年终总结会上看到市场部门、业务部门、财务部门以定量、定性结合的方式展现其工作，我就会感到困惑。因为，清楚地阐明网络安全的商业价值一直是网络安全管理人员面临的主要障碍。网络安全是否有办法转化为能够量化的业务术语？

网络安全部门一直是成本中心，大多数网络安全支出无法创造收入，很难获得有效支持。网络安全法对于安全人员有了明显的要求，各组织才会有专职的网络安全人员，才会有4月征文《一个人的安全》。网络安全投资的预期和收益能否通过业务术语表达，并且与于组织的环境、战略和文化的驱动因素相关联？

我一直致力于跨部门合作，并尝试通过金融风险管理方式量化展现网络安全的工作价值。但一直存在瓶颈，网络安全工作的价值到底怎么算？历史事件造成的损失固然可以作为一个量化安全风险的价值，但事物是动态变化的，同一个业务类型、同一个漏洞、同一个BUG，在不同时间、不同空间、不同状态下的风险和风险损失各异，这需要我们拥抱业务，基于组织的业务战略、业务目标、业务价值，对网络安全进行定价。

网络安全负责人一直是数字化业务的关键推动者，我们有责任帮助组织平衡风险与收益间的关系。网络安全法、等保2.0等不断变化的监管要求，以及来自网络空间的各种威胁，进一步要求提升网络安全能力，以维护和支持业务目标，保障组织健康发展。

机遇与挑战

在许多组织中，管理层均认为网络安全是技术问题，由技术人员处理。

风险和网络安全需求难以证明或难以改善业务能力。

网络安全人员使用的语言难以与业务人员或安全服务使用者产生共鸣。

很少有组织拥有风险和安全服务能力。大多数组织无法量化其安全服务水平，无法以业务术语来描述业务贡献。

除去法律、法规的合规支出，组织管理层要求以业务术语表达网络安全支出带来的收益。

网络安全管理团队是否有办法展现网络安全的实际效益。

随着数字化业务在组织运营和客户服务过程中的不断深入，组织正在探索如何变革原有的风险管理策略，不要关注于风险（抑制创新）而忽视机会（实现创新）。数字化业务需要使用新的安全方法来实现数字化业务的价值。

AI、大数据、IoT、区块链等新技术的应用一方面帮助公司加强组织的能力，但又增加了许多攻击面，存在难以预料的网络安全风险。

思路

创建真正的风险和安全服务组合，明确帮助公司或高级管理层实现战略目标或保障其利益。

为风险和安全服务组合中的每项服务制定业务价值声明。

与关键业务负责人一起验证风险和安全服务，确保能帮助业务。

制定基于业务，可量化、可衡量的工作目标。

实施组织的安全治理，这是网络安全管理的核心要素。

通过专注于维护资产安全和实现业务目标间的平衡，支持新技术，例如：AI、大数据、IoT、区块链。

可以参考Gartner的CARTA来制定安全风险管理战略，保护组织的信息和技术资源（参见上图）。这些通常包括集成风险管理、网络安全、信息和数据安全以及业务连续性管理（BCM）。保证网络安全相关基础工作有序开展，完成网络安全基础工作，才能转向业务安全的价值实现。

方法

将网络安全转向价值实现，要以严谨的视角基于业务导向，平衡成本收益，来定义网络安全的价值。这对于帮助董事会和高级管理层基于风险思考，改善围绕安全投入的决策并发展重视网络安全的文化极其重要。

实施基于业务的安全战略，提供风险和安全服务组合的效能，需要业务、安全和IT之间的紧密合作。这使得能够以合适的质量和成本水平提供满足业务需求的定性和定量结果。风险和安全服务组合上由使用人进行价值定义。

确认风险和安全服务的业务价值，首先要定义这些服务。我们通过创建风险和安全服务组合来实现这一目标。其次是为组合中的每项服务制定至少一个商业价值声明。只有这样，风险和安全服务的业务贡献和要求才会变得清晰，安全团队将能够实现提供业务相关性能所必需的变更。

我们将保护水平协议（PLA，protection level agreements）定义为定义成本的所需保护水平（级别），以满足业务目标。PLA类似于服务水平协议（SLA），它们通常被称为服务管理中的服务包。

大部分安全管理人员只专注于自己的活动或行动，而不是与业务负责人合作，解决其痛点从而获得价值。因此，不会与业务人员或安全服务使用者产生共鸣。

如何产生共鸣？在最简单的层面，价值陈述回答以下问题：

为什么业务团队需要此网络安全服务？

使用此网络安全服务会产生什么好处？

我们是否理解业务，在业务流程中如何帮助业务？

以下是风险和安全服务组合：

以下是某个密码修改的业务流程图和对应的风险和安全服务组合：

价值描述要只限于服务的主要安全贡献，并确保重点是价值，而不是无休止的进行服务描述。

网络安全负责人需要获得能够引起业务负责人共鸣的价值陈述。至少要进行以下工作：

1．安全负责人养成习惯，从客户的角度描述服务领域和元素，而不是提供者。

２．网络安全负责人开始描述每个服务要素的具体价值，但明确的业务价值将倾向于转变为一般性重复的“更好的保护”陈述，在这个阶段，需要深思熟虑地回答，“为什么目标客户需要这个服务？”，使网络安全负责人最终能够了解企业领导者对自己独特的行业和文化感兴趣的核心。

3．与业务负责人一起验证风险和安全服务组合和价值描述。

4．发布风险和安全服务组合。

5．应该随着时间的推移跟踪业务变化。确保风险和安全服务组合和价值描述的有效性。

在年终总结时，将上述风险和安全服务项的服务情况以量化图表的方式进行展现，向董事会、高级管理层呈现网络安全的价值，证明我们确实“价值”。以上是我工作中的经验总结，希望能帮助大家体现自身价值。