對銷售部門、製造部門、採購部門,甚至IT部門來說,證明商業價值可能容易多了。但是對於像是遵循,風險管理或資訊安全管理部門來說,資安長如何找出安全的價值並用金錢精確計算?
文/Mary K. Pratt 譯/高忠義
資安長Ricardo Gonzalez並未將IT安全看做成本中心,相對的,他將它描述為「減少企業風險的策略投資,並正面地貢獻於商業價值之實現」。
那是企業全體高階主管都會支持的。然而這樣的觀點才剛開始獲得接受與認同,因為企業資安長與他們的安全團隊才開始逐步地確立高階領導人的角色。
的確,全球著名的蘇黎士保險公司西班牙子公司負責營運風險與控制的主管,也擔任業務持續經理的Gonzalez表示,愈來愈多的資安長也認同這樣的觀點,並審視如何量化他們的價值。
「資安長們愈來愈關心如何量化他們的貢獻度」,他這麼說。
這是很重要且很有價值的企圖心,但許多資安長仍然苦思如何用財務術語來說明安全帶給組織多少價值。然而專家表示,必須繼續努力這樣做。
「對銷售部門、製造部門、採購部門,甚至IT部門來說,證明商業價值可能容易多了。但是對於像是遵循,風險管理或資訊安全管理部門來說,證明價值的挑戰性高出許多,因此證明價值也更具重要性,」Gonzalez這麼說。「那些領域的專家通常容易認為自己只是在某方面『有必要』。這是錯誤的。你應該盡可能地有效協助達成事業目標、無論是上層或基層的目標,並盡可能減少浪費。而且如果沒有別人能衡量你的貢獻,那你應該想想如何用最好的方式來衡量你的貢獻。」
這是資安長的新領域,過去資安長們只著重在衡量戰術性的改善,像是安裝的修補程式數量,或封鎖的阻斷服務攻擊次數。尤其更具挑戰性的,眾所週知的,要計算資安經費的投資報酬率是極為困難的。畢竟,人們該怎樣為了避掉哪些不好事件貼上一個標價呢?
企業的安全主管、研究人員與網路安全顧問表示,有多種方法可以衡量價值。他們同意資安長現在需要採用一些更能妥善顯示安全功能帶給組織的整體商業價值之衡量指標以及關鍵績效指標(KPIs)。
「當你看著傳統的安全儀表板或計分卡時,其中的項目包括專案數量、或減少的弱點數量、釣魚連結點擊率,修補程式數量。雖然那些事情對於瞭解組織安全情勢來說是很重要的,但那對企業中資安長之外的任何人都沒有價值,」Gartner Research參與風險與安全管理群工作的董事Sam Olyaei這麼說。
雖然並沒有哪一項關鍵績效指標是所有資安長都適用的,但專家表示資安長應該採行幾個關鍵步驟以發展出能夠在他們自己的企業內證明安全價值的衡量指標。
衡量風險
一開始,每個資安長必須從商業的觀點來瞭解自己的組織,包括它的營收來源、它的資產、它的策略等等,以及如何將這些因素算入它的風險容忍度,萬事達卡公司資訊安全工程副總裁兼事業部門安全官Anne Marie Zettlemoyer如此表示。
「安全並不是一蹴可及的;必須先瞭解事業的風險胃納,然後在其周邊建立圍牆」,國際電腦稽核協會安全專家Zettlemoyer這麼表示,該專業組織聚焦在IT治理。有些資安長明白,對企業來說,最重要的事是接續建立一套符合企業需求的安全方案,一方面避免過度投入在關鍵性較低的領域,另方面也避免在最關鍵的領域投資不如。「資安長必須配合風險佈建防線與能力」Zettlemoyer如此補充。
但許多組織未達此種成熟度。
《2018-2019安永全球資訊安全調查》訪查了大約1,400位企業高階領導人,包括資訊安全與IT高階主管,並發現有55%的組織「並未將組織的保護當作他們的策略與管理計劃的核心部分。」調查結果也發現有92%的組織的網路安全功能並未充分符合它們的需求。
然而,專家表示,明瞭企業優先事項、策略與風險容忍度的資安長,能夠更妥善地說明,特定安全投資與那些事業目標與風險門檻的契合程度有多高。那些資安長接著就可以按照與組織風險容忍度的符合程度,建立安全價值前提的框架。
「指標與參數必須能協助每個人瞭解安全情況離那些門檻還有多遠才有意義」Gonzalez如此解釋。
量化安全功能對企業的影響
資安長不能只安於配合組織的風險容忍度來安排安全投資。
他們也需要瞭解組織的策略計劃,籌謀安全工作該從那裡用什麼方法來達成企業的目標,而後辨識並量化安全對那些方案成果的整體貢獻度。「此處安全的價值在於你如何促進那些事業成果,你如何協助讓企業的產品從端點A移動到端點B」,Olyaei這麼說,並補充提到與企業端的同僚有密切關係的資安長更能問出、學習並明瞭任何特定方案的財務影響,並疏理出安全對成功結果的貢獻度。
例如,想想安全部門如何與業務及IT團隊合作以開發公司目前能投入市場的數位產品。就像Zettlemoyer指出的:「大部分的資安長知道若要讓某個指標下降,要花費多少成本,也能用金錢來衡量契約中的責任或者主管機關罰款。」
那些數字可以協助突顯安全部門在促成那些數據產品中所扮演的角色,就像業務與IT部門可以互相說明他們的工作如何帶來投資報酬率。
Gonzalez表示,所以必須辨識安全部門對於特定專案與提案之成功的貢獻程度,然後持續加以衡量。
「舉例來說,有人主張,IT安全情況的衡量,以及後續的改善與維持,是特定事業目標(例如併購)成功的關鍵,而IT安全的貢獻可以設定為2%。再進一步推論,潛在的企業獲利中有2%可歸功於IT安全,」Gonzalez這麼說。
利用真正重要的指標
當然,安全並不只有促成的功能;其存在的理由也包括保護並防禦企業。
然而,世界上並沒有100%的保證。安全工作的圈子在多年之前即已承認不可能建構滴水不漏的碉堡。事實上,大部分的資安長都認同,某些事故是不可避免的。問題不在於會不會發生,而是什麼時候會發生。
但是企業高階主管與董事可能尚未掌握這個情況。「大部分的資安長仍向董事會做出100%的承諾,他們說「如果你給我多少錢,我就能搞定這件事。」即使你向他們明說不可能盡善盡美,但他們仍認為你作出了承諾,」Olyaei這樣解釋。
因此,安全部門必須證明它們在更為細微的衡量指標上做得多好,那些指標可能不是只直接計算安全相對於不安全的程度,而是指出組織落在各個指標中間的哪一段,以及在那些衡量指標上是否呈現改善的狀況。
資安長有許多的指標可以用來開發與呈現安全投資價值有關的關鍵績效指標:
1.認識你有價值的資產
安全團隊在組織資產分類、辨識各資產風險容忍度,並採取相應程度的防衛上做得多詳盡呢?
「每個公司都應該知道他們的有價之物,它們的核心技術是什麼,以及他們想要保護的是什麼東西,這樣他們才能在最有價值的資產旁邊建立一道圍牆。有些公司瞭解如果他們的電子郵件因為侵入事件而丟失,那是小事;但如果洩漏了社會安全號碼,那是完全不同的事情了」,事業網路公司 SOSA NYC 的企業創新專家與網路安全專家 Omri Admon 這麼說。
2.衡量恢復力
發生攻擊事件時,反應的時間有多少?安全團隊完成回應的關鍵工作的速度多快,例如關閉出口以減少被搬出企業的資料數量之時間?Admon提到,資安長可以將快速回應降低企業受影響程度的結果轉化成實際的金額。
Zettlemoyer表示,採用那樣的方法,並運用研究資料以及可公開取得的數據以計算企業的安全投資可以為公司帶來多少財務上的價值。
「如果我們討論到回復業務的議題,你可以透過測試、模擬與演練來證明你的組織準備得多好以回應某種事件的程度,以及公司多快能回復正常,而以此顯示你的價值,」她這麼說。
3.以其他組織作為標竿
Zettlemoyer表示她只要說明其他公司遇到事情,但因為沒做好準備,而花了多少成本,就能解釋她的安全團隊在某個事件發生時反應的速度多快,預期回復的水準,以及節省的金額。例如,她曾經運用哥本哈根船運業鉅子快桅公司(A.P. Moller-Maersk)在2017年因為NotPetya攻擊估計損失2億到3億元的例子來解說。
其他人也同樣會建議採用侵入事件的資料來作為衡量他們相對於同業中規模相當的其他公司,績效表現的標竿。
「那是找得到的確切資料」,國際電腦稽核協會副理事長兼 Forfa Consulting AG 合夥事業執行長,以及 Forfa Holding AG 董事長的 Rolf von Roessing 這麼說。他表示資安長可以藉著規模相似組織經歷侵害事件發生的成數以及蒙受的成本,以及相關罰款或罰金損失,來比較他們投資成功的經驗,因此也可以比較其價值。
此外,管理與IT顧問公司Swingtide的資深顧問 Bill Serowka 表示,資安長可以運用資料,就像Ponemon的年度資料侵害事件成本報告,以量化堅實的安全功能之金錢價值。2019年的報告計算出資料侵害事件的平均成本是392萬美元,比五年前的情況增加了12%。
這樣的數字能協助業務線的高階主管、執行長以及董事充分瞭解安全投資產生的價值,Serowka這麼說。所以值得彙整這樣的資料。
「資安長們需要量化風險,也需要將風險與貨幣價值關連起來。因為企業就是在風險與報酬之間取捨,而在這種高層的人想要瞭解他們是否想要承受風險,風險能否抵銷報酬。