赢得安全投资的技巧

申请免费试用、咨询电话：400-8352-114

英国油漆与特殊化学品供应商ICI公司的CISO（首席信息安全官）Paul Simmonds认为，通过系统地从财务角度评估企业安全态势和提出改进建议，CSO（首席安全官）可以在企业董事会上赢得安全项目的投资。Simmonds说：“与董事会的交流必须从钱的角度来谈。比如：不做这件事让我们损失了这么多钱，具有这样风险和好处的解决方案A花这么多钱，具有那样风险和好处的解决方案B花这么多钱，等等。”

他补充说：“很多安全经理没有经过正式的业务培训，他们通常是走IT之路上来的，因此可能不善于从财务角度讲话。或者他们没有找到评估安全性来证明ROI（投资回报）数据的方法。”

咨询人士建议从一些已知方法入手，定量地评估企业在安全方面做的如何。

咨询师Tom Walsh建议CISO参考美国国家标准技术学会（NIST）的“信息技术系统风险管理指南”。Walsh认为，它是分析硬件、软件、网络设备和移动设备系统特征来确定“风险得分”的很好框架。

“一切都是基于风险或基于遵从性的。风险按可能性和影响来评分。”Walsh说，“这种风险分析的目的是让业务经理了解情况，把选择、费用和风险摆在他们面前，帮助他们作出业务决定。”

System Experts公司是一家专业从事网络安全的咨询机构，公司总裁Jon Gossels也喜欢用标准作为审查的基础。不过，他偏爱的标准是被采纳为国际ISO标准17799的英国标准7799，并将它作为定义企业安全性的基线。

Gossels说：“这项标准谈的更多的是流程而不是控制以及是否有合适的政策。CSO可以把这些拿给管理层说：这是我们如何进行评估的依据，这是我们需要投资的领域。”

Gossels指出，通过标准定义企业安全性的主要优势是因为它是国际上普遍承认的框架。

ICI的Simmonds表示，BS/ISO标准“有助于推行使你能够采集信息的良好实践。”他认为，NIST标准的缺点是它在美国之外没有得到承认。Simmonds建议，CSO和CISO在找高级管理层索要安全资金时，应当避免喋喋不休地大谈标准，否则，他们将失去兴趣。

Continental公司信息安全主管Andre Gold赞同Simmonds的意见，他认为试图与高级管理层讨论BS7799/ISO17799或NIST标准可能是费力不讨好的尝试。相反，在与高级管理层讨论安全技术时，需要一点巧妙的心理学。他说：“你交流的东西是安全技术如何能够支持业务，使业务流程变得效率更高或保护业务的安全，而不是交流安全技术。”

 “以VPN为例，我描述使用它的结果。”Gold说，“例如，通过在Internet上使用企业到企业的VPN隧道，企业可以减少电信费用，确保所交换数据的完整性以及利用已有基础设施获得效率。”

他提倡利用更易于理解、同时也是构成安全部署框架基础的“参考业务构件”来表达安全概念。  (cnw-ccw)