企业进行任何的管理活动,其目的无非有以下两点:一是希望得到更多的产出,能够赚更多的钱;二是希望减少不必要的损失,降低可能产生损害的风险。
信息安全工作当然也不例外,企业逐渐投入越来越多的资源,配备越来越多的安全岗位人员,部署越来越多的信息安全产品,实施越来越多信息安全工作项目,当然希望能够使信息安全工作的价值发挥到最大。
那么,信息安全工作的价值到底体现在哪里呢?下面先从控制风险、减少损失这个方面进行简单的说明。
信息安全工作本身就是由风险驱动的,信息安全工作最直接的价值,当然是控制风险、减少损失。
虽然说明信息安全工作在这个方面的价值体现并不算太难,但主要问题是最高管理层可能听不懂这么专业的内容,或者对这些技术细节问题不是很感兴趣。
所以说,想要在控制风险、减少损失方面体现信息安全工作的价值,就需要将信息安全工作所起到的作用,用管理层能听懂并感兴趣的方式进行沟通,说白了就是要学会讲故事。
那么,要想将这个故事讲的足够精彩,需要抓住哪几个主要的脉络呢?
首先,是抓住内部安全工作效果的脉络
内部安全工作效果这条脉络,无非是没有太多的安全投入时,安全漏洞很多、安全事件频发、安全损失很大,随着安全投入的增加、安全工作的深入,安全漏洞越来越少、安全事件逐步降低、安全损失得到有效的控制。
这条脉络讲故事是不算太难,但关键问题是有没有机会向大老板讲,就算有了机会敢不敢将这些和盘托出。坦白讲如果知无不言、言无不尽的讲出来,这样做的难度和风险无疑都是很大的。
曾经就有个企业的安全负责人,经常越级向大老板汇报安全问题,希望大老板能够重视安全工作,而被直属上级领导直接挤兑走了。这位安全负责人有次出差回来,发现自己的办公室空了,所有东西都被收走了,然后愤而辞职。
如果造成这样的结果,对企业来讲当然是巨大的损失,对于安全工作来讲,也是得不偿失。
其次,是抓住外部安全威胁难度的脉络
外部安全威胁难度这条脉络,主要是说明外部威胁对企业造成损害变得越来越困难了。比起内部安全工作效果,外部安全威胁难度这条脉络就不是那么容易说的清楚了,因为威胁是无处不在的,并且是很难衡量的。
当然,事情往往就是这样,容易事情的很难让人信服,内部安全工作效果讲的再好,由于是站在安全工作自身的角度谈问题,令人信服的程度就会大打折扣。如果能够客观的对外部威胁能够进行一个分析,这会使安全工作所体现的价值令人信服程度大大增加。
举个例子说明一下。
有个企业由于缺乏基本的安全控制,导致自身的大量客户信息在网上被公开叫卖,而且每一条客户数据都极其便宜,也就是两毛钱一条数据。发现问题后,进行了基本的安全控制,效果立马得到体现了,原来两毛钱一条数据变成了一块钱一条数据了。加强安全控制后,网上贩卖的数据大大减少,而且数据的价格变得贵了很多,已经到了三、四块钱一条数据了。
最后,是抓住第三方客观评价的脉络
第三方客观评价这条脉络,比较适合面临着上级单位评级、监管检查、安全审计的企业,对于一般性的企业如果没有面临这些合规需求,就算找个第三方来进行评价,也很难有说服力。
如何利用第三方客观评价,使信息安全工作价值得以体现呢?下面举例进行说明:
比如,在央企、国企的信息化测评中,信息安全工作是占一定比例的评分的,虽然所占比重不是很大,但也能够从侧面反映信息安全工作的价值。
在金融行业的监管检查与风险评级中,信息安全工作的价值就能够很大程度的体现了,如果信息安全工作效果很好,风险评级分数领先,会给企业客户以信心,并带来业务的增长;相反,信息安全工作开展不到位,会直接影响企业的风险评级,风险评级过低会被监管机构处罚,领导可能丢了乌纱帽不说,还会影响业务的发展。
对于上市公司,尤其是在美国上市的企业,面临着萨班斯法律的约束,并且每年需要接受内控审计。在内控审计中,信息安全审计占有一定的比重,那么,信息安全工作所取得的效果甚至可能影响股价的走势,影响主要投资者的信心。
企业信息安全工作,在控制风险、减少损失方面所体现的价值,今天就先描述到这里,下一次从提供服务、创造利润的方面,再来深入阐述一下信息安全工作价值。