近日，英國(guó)公司Nominet發(fā)布了一份針對(duì)企業(yè)信息安全主管的調(diào)查報(bào)告——《墻內(nèi)的生活，解讀當(dāng)代CISO》，報(bào)告顯示，只有52%的CISO所在企業(yè)的高管認(rèn)為網(wǎng)絡(luò)安全對(duì)于企業(yè)的品牌和營(yíng)收有重要貢獻(xiàn)。但也有相當(dāng)多高管認(rèn)為，CISO確保業(yè)務(wù)安全運(yùn)行本身就是在為企業(yè)創(chuàng)造價(jià)值，還有一些CISO通過(guò)增值活動(dòng)提供額外的安全投資回報(bào)：安全部門通過(guò)各種計(jì)劃降低成本，開辟新的戰(zhàn)略機(jī)遇甚至直接增加企業(yè)收入。

[[342657]]

正如麻省理工學(xué)院斯隆商學(xué)院(CAMS)網(wǎng)絡(luò)安全執(zhí)行總監(jiān)Keri Pearlson指出：“在這個(gè)全新的時(shí)代，我們已經(jīng)看到了CISO為組織帶來(lái)價(jià)值的大量機(jī)會(huì)。”

以下，我們整理了各界專家的意見(jiàn)，聚焦CISO領(lǐng)導(dǎo)的網(wǎng)絡(luò)安全業(yè)務(wù)能夠給企業(yè)數(shù)字競(jìng)爭(zhēng)力帶來(lái)的十大價(jià)值：

一、提升整體企業(yè)數(shù)據(jù)的可管理性和效率

畢馬威(KPMG)全球網(wǎng)絡(luò)安全實(shí)踐聯(lián)席負(fù)責(zé)人兼負(fù)責(zé)人Tony Buffomante表示，由于CISO在整個(gè)組織中具有可見(jiàn)性，因此他們有機(jī)會(huì)將增值服務(wù)帶到安全服務(wù)之外。他舉了一個(gè)案例，畢馬威(KPMG)與一家大型金融機(jī)構(gòu)的CISO合作評(píng)估其數(shù)據(jù)風(fēng)險(xiǎn)。在進(jìn)行評(píng)估時(shí)，CISO發(fā)現(xiàn)很多收集到的數(shù)據(jù)和位于多個(gè)位置的數(shù)據(jù)資產(chǎn)未被使用。

作為風(fēng)險(xiǎn)和安全評(píng)估的一部分，CISO和畢馬威會(huì)計(jì)師事務(wù)所首先對(duì)數(shù)據(jù)元素進(jìn)行了評(píng)分。然后，他們記錄了數(shù)據(jù)新舊程度是否對(duì)競(jìng)爭(zhēng)優(yōu)勢(shì)有用，數(shù)據(jù)是否存儲(chǔ)在多個(gè)地方，以及數(shù)據(jù)是否在多個(gè)地方使用過(guò)。

CISO還與IT部門分享了他的見(jiàn)解，消除了冗余并減少了數(shù)據(jù)占用量，此舉不但幫助公司節(jié)省大量現(xiàn)金，同時(shí)還降低了安全風(fēng)險(xiǎn)。同時(shí)，該公司的營(yíng)銷部門利用CISO對(duì)數(shù)據(jù)的見(jiàn)解開展更加精準(zhǔn)和有針對(duì)性的營(yíng)銷工作。

Buffomante解釋說(shuō)：“正是CISO將洞察力帶入了數(shù)據(jù)，幫助企業(yè)業(yè)務(wù)部門思考使數(shù)據(jù)更具價(jià)值的方法。”

二、“業(yè)務(wù)漏洞獵手”：發(fā)現(xiàn)企業(yè)政策和流程缺陷

在安全審計(jì)中，CISO通常會(huì)發(fā)現(xiàn)系統(tǒng)和協(xié)議中存在的漏洞。其實(shí)，他們也完全可以如法炮制，幫助企業(yè)查找業(yè)務(wù)流程和政策中的漏洞，從而為組織帶來(lái)更多價(jià)值。

奧巴馬政府期間的第一位聯(lián)邦政府CISO，卡內(nèi)基梅隆大學(xué)亨氏信息系統(tǒng)與公共政策學(xué)院兼職教授，退休的美國(guó)空軍準(zhǔn)將葛雷格里·圖希爾說(shuō)：“這是我們所有CISO和企業(yè)高管都應(yīng)該贊成的好想法：CISO可以讓整個(gè)企業(yè)變得更優(yōu)秀。”

在一個(gè)咨詢案例中，Touhill的一位安全分析師捕獲并調(diào)查了異常活動(dòng)，這些異常活動(dòng)最后歸因到了一位新員工的審核和入職問(wèn)題。

Touhill說(shuō)：“人力資源不在CISO的車道上，但是他們發(fā)出了警報(bào)，最終企業(yè)改進(jìn)了入職流程。”

當(dāng)然，要引起其他主管的注意，就需要CISO運(yùn)用最佳外交技巧，正如Touhill所指出的那樣，“您應(yīng)該讓組織出面來(lái)解決這個(gè)問(wèn)題。”

三、發(fā)現(xiàn)冗余支出

CISO擅長(zhǎng)搜尋并剿滅企業(yè)中過(guò)剩的冗余技術(shù)資產(chǎn)，以防這些資產(chǎn)帶來(lái)的安全風(fēng)險(xiǎn)，但是資深安全主管Gene Fredriksen說(shuō)，安全領(lǐng)導(dǎo)者能夠識(shí)別不必要的技術(shù)支出，從而幫助組織控制預(yù)算。

“如今，基于云的服務(wù)器非常容易使用，但是每次有人啟動(dòng)云端服務(wù)器，企業(yè)都需要支付費(fèi)用。因此，如果進(jìn)行一次進(jìn)行許可證審核，高管們往往會(huì)被各種冗余支出嚇一跳。”國(guó)家信用聯(lián)盟信息共享與分析組織(NCU-ISAO)執(zhí)行董事，Pure IT信用聯(lián)盟服務(wù)的網(wǎng)絡(luò)安全負(fù)責(zé)人吉恩·弗雷德里克森(Gene Fredriksen)說(shuō)道。

四、為知識(shí)產(chǎn)權(quán)保護(hù)提供技能

OutSecure Inc.總裁兼網(wǎng)絡(luò)安全女性組織(WiCyS)成員帕梅拉·古普塔(Pamela Gupta)說(shuō)，識(shí)別未得到充分保護(hù)的知識(shí)產(chǎn)權(quán)“通常不是CISO的職責(zé)，但CISO完全可以在這個(gè)領(lǐng)域發(fā)揮作用。”

Gupta與一個(gè)CISO一起工作，該CISO的任務(wù)是對(duì)公司的財(cái)務(wù)和信用卡數(shù)據(jù)實(shí)施控制，但在此過(guò)程中，他認(rèn)為需要提高公司知識(shí)產(chǎn)權(quán)的安全性。

Gupta表示：“我發(fā)現(xiàn)，即使是大型組織也沒(méi)有采取基于風(fēng)險(xiǎn)的方法來(lái)保護(hù)知識(shí)產(chǎn)權(quán)，并將這種保護(hù)覆蓋并連接整個(gè)組織的各個(gè)角落。”他補(bǔ)充說(shuō)，可以通過(guò)基于風(fēng)險(xiǎn)的安全意識(shí)培訓(xùn)來(lái)更好地識(shí)別和保護(hù)知識(shí)產(chǎn)權(quán)。這是CISO能為企業(yè)提供的高價(jià)值服務(wù)。

五、安全就是產(chǎn)品，安全就是賣點(diǎn)

安全如何創(chuàng)造價(jià)值?其實(shí)安全本身就是價(jià)值。Keri Pearlson博士指出：無(wú)論是消費(fèi)者從電商平臺(tái)購(gòu)買一臺(tái)智能家電，還是企業(yè)高管與供應(yīng)商商談合同，每個(gè)人都希望與安全性靠譜的企業(yè)合作。而且，無(wú)論是消費(fèi)者還是企業(yè)，人們對(duì)于產(chǎn)品和企業(yè)安全能力的關(guān)注正在與日俱增。

Pearlson補(bǔ)充說(shuō)：“企業(yè)能夠以安全性高而自居，這本身就可以創(chuàng)造收入。”這為CISO提供了機(jī)會(huì)。“如果CISO可以向您證明自己的公司或產(chǎn)品更安全，那么這本身就能帶來(lái)開展業(yè)務(wù)的戰(zhàn)略機(jī)會(huì)。”

Pearlson說(shuō)她曾在一家組裝數(shù)字組件的產(chǎn)品公司工作。其CISO將其工作范圍從保護(hù)內(nèi)部系統(tǒng)擴(kuò)展到了產(chǎn)品的安全功能開發(fā)。

她補(bǔ)充說(shuō)：“CISO抓住了機(jī)會(huì)，參與到產(chǎn)品開發(fā)層面。”“對(duì)于CISO來(lái)說(shuō)，這不是傳統(tǒng)的角色，但是CISO其實(shí)可以在這里產(chǎn)生重大影響，尤其是在企業(yè)數(shù)字化轉(zhuǎn)型的過(guò)程中，一切皆有數(shù)字成分，同時(shí)也帶來(lái)數(shù)字風(fēng)險(xiǎn)。”

六、搭建橋梁

像CIO和CFO同行一樣，CISO的工作覆蓋整個(gè)企業(yè)，因此有機(jī)會(huì)在企業(yè)中建立關(guān)系。資深安全主管，ISACA(專業(yè)致力于IT治理的專業(yè)協(xié)會(huì))的前任董事長(zhǎng)Brennan P.Baybeck說(shuō)，這使CISO成為了大使。他指出，CISO的工作幾乎涉及整個(gè)執(zhí)行和戰(zhàn)略領(lǐng)域——從與數(shù)據(jù)相關(guān)的問(wèn)題到法律，隱私和治理以及安全性。他們的任務(wù)是與許多其他伙伴一起尋找解決方案。

“CISO能夠看到需要改進(jìn)的地方，并在公司內(nèi)部協(xié)調(diào)資源”Baybeck說(shuō)，他也是Oracle公司客戶服務(wù)的CISO。

他建議首席信息安全官利用這一經(jīng)驗(yàn)在各個(gè)職能部門中扮演調(diào)解人的角色，并通過(guò)打破孤島在部門之間建立網(wǎng)絡(luò)，來(lái)幫助企業(yè)更好地管理風(fēng)險(xiǎn)。

七、幫助合作伙伴

弗雷德里克森(Fredriksen)認(rèn)為，面對(duì)日益嚴(yán)峻的供應(yīng)鏈安全性問(wèn)題，CISO與企業(yè)的業(yè)務(wù)合作伙伴有大量合作的機(jī)會(huì)。

他說(shuō)，作為首席信息安全官，他本人為供應(yīng)商和分銷商舉辦了安全研討會(huì)，與他們共享了安全警報(bào)和合規(guī)性更新。

他補(bǔ)充說(shuō)：“CISO們需要分享最佳實(shí)踐，因?yàn)樗麄冊(cè)谝黄饡?huì)讓彼此變得更好。”

八、尋找推進(jìn)標(biāo)準(zhǔn)化的機(jī)會(huì)

IT服務(wù)公司Garnet River LLC的CISO Michael D.Weisberg正在為一家大型企業(yè)的CISO提供建議，該企業(yè)已實(shí)施了不同的系統(tǒng)來(lái)處理來(lái)自不同地點(diǎn)的付款。該組織擁有23個(gè)不同的平臺(tái)來(lái)處理同一流程，這種情況不僅給CISO帶來(lái)了昂貴的復(fù)雜性，而且給支持所有這些系統(tǒng)的技術(shù)人員帶來(lái)了不必要的復(fù)雜性。

認(rèn)識(shí)到這些不同系統(tǒng)給組織帶來(lái)的負(fù)擔(dān)，CISO開發(fā)了一個(gè)統(tǒng)一的框架，該框架對(duì)所有系統(tǒng)的安全性和技術(shù)要求進(jìn)行了標(biāo)準(zhǔn)化。整個(gè)組織和CISO自己都從標(biāo)準(zhǔn)化工作中受益。

Weisberg說(shuō)：“維護(hù)標(biāo)準(zhǔn)化的功能環(huán)境所需人員更少，效率更高，企業(yè)可從中長(zhǎng)期受益。”

九、幫助企業(yè)高級(jí)管理層制定戰(zhàn)略計(jì)劃

隨著CISO逐步晉升為執(zhí)行合作伙伴，通過(guò)為CxO高管同行提供有關(guān)網(wǎng)絡(luò)安全問(wèn)題的咨詢，CISO有能力推動(dòng)制定更多企業(yè)戰(zhàn)略計(jì)劃。

非營(yíng)利煙草控制組織Truth Initiative的首席信息和網(wǎng)絡(luò)安全官Derrick A.Butts說(shuō)：“這與組織的愿景保持一致，并有助于節(jié)省資金并改善全體員工的工作流程。”

巴茨看到了CISO參與的戰(zhàn)略工作如何帶來(lái)紅利。

他以五年前公司搬遷舉例，盡管設(shè)施管理似乎不像是CISO擅長(zhǎng)的領(lǐng)域，但他盡早參加了討論并最終影響了新辦公設(shè)施的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)。Butts建議他的同事向網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中添加功能，以支持大量的遠(yuǎn)程工作并為該遠(yuǎn)程工作提供安全性，他還說(shuō)服其他高管，表示該計(jì)劃能夠確保在發(fā)生諸如大雪等緊急情況下，關(guān)閉整個(gè)辦公室(但不影響辦公)。

當(dāng)COVID-19大流行時(shí)，Butts參與該計(jì)劃的價(jià)值變得顯而易見(jiàn)，因?yàn)樗诠镜膯T工幾乎是無(wú)縫且迅速地過(guò)渡到了遠(yuǎn)程工作環(huán)境。

“我們不必重新評(píng)估并引入新系統(tǒng)來(lái)支持遠(yuǎn)程辦公工作。我們已經(jīng)早有準(zhǔn)備，因此業(yè)務(wù)絲毫不受(疫情)影響。”Butts補(bǔ)充道。

十、簡(jiǎn)化法規(guī)控制

隨著各國(guó)立法者和私人實(shí)體頒布越來(lái)越多的安全和隱私法規(guī)(例如《加州消費(fèi)者保護(hù)法案》)，企業(yè)必須實(shí)施自己的控制措施以遵守法規(guī)。

但是，由于法規(guī)不斷增多，疊床架屋，如果“見(jiàn)招拆招”，通常會(huì)導(dǎo)致復(fù)雜、冗余的控制和相關(guān)流程。

云計(jì)算提供商Fastly的CISO邁克·約翰遜(Mike Johnson)說(shuō)，由于安全領(lǐng)導(dǎo)者參與了各種監(jiān)管義務(wù)，他們經(jīng)常可以找到簡(jiǎn)化這些控制措施的方法。

他說(shuō)：“CISO可以通過(guò)簡(jiǎn)化與安全相關(guān)的操作和合規(guī)性來(lái)給企業(yè)帶來(lái)增值。”降低合規(guī)成本能為企業(yè)創(chuàng)造巨大價(jià)值。要知道，繁重的手動(dòng)流程意味著很高的現(xiàn)金和機(jī)會(huì)成本，而自動(dòng)化(以及其他改進(jìn)方法)確實(shí)可以為整個(gè)企業(yè)帶來(lái)收益。”

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文