為什么有些高管不愿意在安全上加大投入?因為在企業(yè)中,只有安全團隊是一支“給的預算越多,發(fā)現(xiàn)問題就越多”的隊伍。在WannaCry和NotPetya勒索軟件肆虐之下仍有公司不愿投資安全,原因之一正在于此。
安全事件頻現(xiàn)主流媒體頭條,但是否有助于安全列入董事會議程的前列呢?
一家大銀行的CISO曾表示,雖然自己已經(jīng)是公司里向董事會做簡報最多的人,但是討論基本是從防護角度出發(fā)。“董事會只想知道怎樣確保不受全球爆發(fā)和重大問題的侵擾”。
此外,安全驅(qū)動業(yè)務(wù)的觀念,是否真得傳達到并被董事會所接受?
我們都聽說過安全作為業(yè)務(wù)驅(qū)動器的概念,但真的是這樣嗎?哪里體現(xiàn)出來了?給我點案例看看?安全是唯一一支當它要求更多預算的時候,反而給你更多問題的團隊。在我擔任CISO的時候,把錢投到安全工作上,結(jié)果就是更多人發(fā)現(xiàn)問題,產(chǎn)生更多警報。這是違反成本效益本質(zhì)的,投入應該給公司帶來經(jīng)濟收益。但在安全上,投入?yún)s是個無底洞。投入越多問題越多。
——邁克菲首席科學家拉杰·薩瑪尼
難道就這樣接受現(xiàn)狀了嗎?
實際上這里需要觀念的轉(zhuǎn)變,即只要董事會不再把安全看做獨立的業(yè)務(wù)領(lǐng)域,而是將其視為公司各個組成部分的基礎(chǔ),安全是一個屬性,上面的問題就都不存在了。
如何證明安全投入可幫助企業(yè)增加經(jīng)濟收益?回答好這個問題,就是向董事會證明安全價值的關(guān)鍵。