让业务与安全贴合：适应业务需求的网络安全指标

数据泄露永远不会杜绝，监管规定只会层出不穷。对品牌形象和盈利的潜在影响，令网络安全成为了董事会级别的主要议题。网络安全控制及过程如何适应业务重点的问题变得前所未有的重要。

安全公司Varonis最近的调查研究显示，业务与安全并未完全贴合;虽然安全团队觉得自己的意见已被听取，但公司领导层却承认他们根本有听没有懂。

问题很明显：安全与业务间语言不通。因为安全处于二者关系中较弱的一方，以业务用语驱动对话的责任自然就落在了安全身上。只要双方沟通顺畅，安全控制与业务重点之间的协调也就会容易得多。

呈现良好的指标是双方都能理解的共同因素，也可作为协同统一的主要驱动力。但事实上，这种情况其实不算常见。

用指标协同安全与业务

要理解如何更好地运用指标来与企业领导沟通，需要知道：为什么指标是必要的?指标如何改进?问题有哪些?代价是什么?

破除语言不通障碍

虽然某些董事可能知道防火墙是什么东西，绝大多数董事却是根本不了解IDS/IPS、SIEM、代理，或者其他什么安全解决方案都有什么用途的。他们只关心公司的风险等级有多高。

CISO虽然了解网络风险，却又未必知道各业务部门什么时候风险最大。同样的，业务主管也不知道不断变化的网络安全威胁会对具体业务风险造成什么样的影响。

安全主管应先更好地了解公司业务层面的事项，以便给出业务主管能够理解的有意义的风险管理指标。这么做可以让安全与业务两方面都能展开多了解对方的过程。业务部门会开始看到安全部门是如何降低风险的，也就会开始指定需要更具体防护措施的其他领域。

此中关键和难点在于找出并呈现推动这一过程的初始指标，安全与业务的分歧也正在于此。CIO领导的IT部门必须维持关键系统的正常运行时间，还要支持数字化转型项目，以便改进业务部门用以完成其业务目标所用的技术。CISO领导的安全部门通常必须维护公司存储、处理和传输的数据与信息的机密性、完整性和可用性。这些部门及其主管倾向于围绕自身战术性职责而非董事会/高管考虑的业务驱动力来提供指标。

安全部门聚焦战术性指标，比如登录、封禁流量、交易计数等等，但这些指标大多反映不出业务目标，或者不是以业务主管能够理解或关心的形式提出的。好的指标因为与业务相关，需与金钱和经营效率挂钩，并能展现安全有效性的趋势模式。真正的挑战和难点正在于此。

问题出在IT和安全专业出身的人往往缺乏基本的业务培训上。2017年的首要管理工具是战略规划。战略规划常常跻身业务主管五大工具之列。但又有多少安全主管足够了解战略规划与执行呢?他们能确保自己的指标对公司的战略目标有所贡献吗?

业务主管没有义务去了解安全。过去很多CISO的败笔就是认为业务需要理解安全。这种想法是十分错误的。因为负责安全的是安全部门，安全才需要更好地去理解业务，以便能够阐明不应用恰当安全防护的后果。CISO才是那个需要去了解业务并理解公司使命目标的人。

这么做值得吗?

接受访问调查的所有CISO都认为，更好地呈现正确的安全指标可以协调安全与业务。事实上，CISO也只有这么做才能让执行管理层理解当前的挑战有哪些，而安全部门又已取得了哪些成果。

除了指标和安全/业务动态，CISO还必须清楚董事会的心理——这就各家公司不一而足了。有些董事会很重视安全，有些则对安全兴趣缺缺。比如说，如果某公司被竞争对手碾压，但这与安全无关，那这家公司的董事会就很可能将安全置于低优先级议题之列。

时间可能由此成为CISO无法控制的问题：指标是应该定期给出，还是应该只在必要是呈现呢?前者可能不必要地占用业务主管过多时间，而后者则会让CISO给人一种厄运使者的印象。

有些CISO认为，董事会不应经常听到安全部门的声音。除非有关键问题或重大业务转型，否则每年上报一次主要趋势、威胁态势演变、战略性安全规划也就够了。

这种观点是少数派。很多CISO至少觉得应经常呈递指标报告以供彰显安全趋势。

然后，呈现风格的问题。一旦有机会向业务主管呈现安全指标，最好别浪费。太多报告跟某些颁奖嘉宾发言似的，单调无聊。报告要么太长(太多细节)，要么太多无关紧要的东西。如果报告太烂，只会导致被问及更多问题。