写在前面
一直以来,关于如何让公司管理层感知到安全工作的价值,如何说服老板对安全工作进行投入,以及如何考核企业安全各个团队的工作,都是企业安全负责人及安全专家们,最头疼和最关心的事情。
也是过去我们在视频号直播交流,以及线下和企业负责安全的大佬们交流中,聊到最多的话题。
而解决这几个问题的关键,就在于如何能够量化管理企业的安全风险。
只有能将风险量化出来,我们才能够说清楚企业安全工作的必要性及价值,同时才能够说清楚投入多少资源能够将风险收敛到什么程度,这样才能说服管理者进行投入。
而同样,负责参与企业安全建设的业务负责人及安全团队成员,才能更直观的看到自己在安全工作上投入所取得的成果。
所以,我们可以认为作为企业安全工作的负责人,能够建立一套科学的企业安全风险量化管理的能力和指标体系,是做好企业安全工作的前提。
企业安全风险量化管理的关键价值分析
前面也大概介绍了做好企业安全风险量化的三个关键价值:
- 让公司管理层感知到安全工作的价值
- 说服公司管理层对安全进行投入
- 考核及管理企业安全各个团队的工作
<strong>关于业务安全场景的指标量化管理的关键</strong>
公司管理层大多数情况下是不懂安全的,所以天然他们无法全面地了解企业面临的安全风险现状,那就更不可能知道安全部门做的所有工作到底解决了多少安全风险,以及给公司直接或者间接带来了多少价值。
所以在我们开展企业安全建设工作之前,我们应该先说清楚企业到底存在多少安全风险。当然最好是以公司各级组织、各个业务的资产为对象,来说清楚对应的风险现状,以及这些风险可能对业务造成的实际影响。
可以将损失及风险带来的潜在成本进行量化,这其实就是我们未来建设安全所能够带来的价值。
如果我们有一套科学和统一的风险评价指标体系来衡量安全风险,那就可以量化计算每一项安全投入多带来的价值,因为我们只需要观测对应风险指标体系在投入前后的差值即可。
<strong>关于业务安全场景的指标量化管理的关键</strong>
通常来说,如果企业管理者没有办法评估这个事情未来可能带来具体多大价值时,通常他们是不敢投入资源的。他们有两点担心:
- 如果你作为公司安全或者某个业务的安全负责人,你都说不清楚当下到底有多少风险,在这种情况下贸然投入资源去做安全,是不是有可能最后发现资源投入之后,没有解决到关键问题。因为关键问题的风险还没有被暴露出来。
- 如果你没有办法量化评估当下的安全风险,那么也就意味着资源投入的收益也很难被评估,没办法计算ROI。
通常以上两点都是说服公司管理层对安全进行投入的关键。
<strong>关于业务安全场景的指标量化管理的关键</strong>
不能被指标量化的工作就很难被管理,尤其是在规模越大的公司,管理层没办法投入大量的精力去了解你工作的细节。
在这种情况下,就必须在立项的时候,要求项目负责人,必须把项目的价值讲清楚,说清楚到底要解决什么场景的安全风险,这些风险应该用哪些指标来去量化评估,以及过程中拆解出来哪些关键观测指标。以及说清楚这些关键观测指标是如何影响最终的结果指标的。
只有把这些问题的逻辑讲清楚,甚至应该去小范围验证好。那么作为项目经理的你才算把这项工作梳理清楚了,作为安全负责人或者CIO/CTO未来才能轻松的考核及管理企业安全的这项工作。
如何才能做好企业安全风险量化管理
我认为做好企业安全风险量化管理工作需要从两个不同的场景去看:
- 技术安全场景:技术安全场景通常包括基础安全、数据安全、产品安全等等,这些工作的成果通常无法直接对企业的业务目标带来影响;
- 业务安全场景:而业务安全场景的风险量化管理指标通常是可以直接反映在业务指标上的,比如用户满意度、业务服务的稳定性、甚至是收入指标等等;
<strong>关于业务安全场景的指标量化管理的关键</strong>
技术安全场景下安全风险的三要素是资产、威胁、脆弱性。
所以我们必须要搞清楚企业到底有多少资产,从各级组织到对应的业务系统下到底有多少应用资产,这个时候我们需要有一套科学的关于资产分类的标准,基于这个标准我们才能梳理清楚企业的资产情况。
因为脱离企业资产聊安全问题(威胁及脆弱性)是没有任何价值的。
在梳理清楚资产之后,我们同样需要有一套标准说清楚不同类型的资产所面临的潜在风险有多少,这同样需要有一套风险分类的标准来做支撑,基于这套标准我们才能够通过安全工具及平台去全面的识别风险。
最终,我们会发现在技术场景下,企业所有的软件应用、数据的风险 = (软件/数据)资产 x 对应的风险。
<strong>关于业务安全场景的指标量化管理的关键</strong>
关于业务安全场景的指标量化管理的核心关键,是在于理解业务的关键指标以及实现业务关键指标的关键路径。
然后我们需要去识别在这些关键路径下,存在哪些影响关键指标达成的因素,以及说清楚这些关键因素是如何影响最终业务指标的达成的。
比如商机数据的泄露可能导致企业的销售收入下降,原因是竞争对手会通过获取你的高价值客户信息抢走你的客户。
那么我们可以通过观测不同地区的商机泄露现状来评估对于销售收入的影响情况,从而推算出商机泄露和销售收入影响之间的计算关系或者逻辑。
那么接下来就可以用收入目标来反推,我们需要将商机数据泄露风险控制到什么程度,同时可以量化出来指标。
关于更多的案例和具体风险量化管理实际
明天(5月18日)晚上19:30,我会带来一场视频号直播,详细聊聊关于企业安全风险量化管理的分享和讨论。其中会包括:
- 我们如何理解企业安全风险量化管理的价值
- 企业各层级管理者会更关心哪些安全管理指标
- 如何实现企业安全风险量化,指标如何确定
以下是直播预约通道,欢迎提前预约直播:
