CIO經常被要求證明技術投資是物有所值的。但是,美國某家公司的CIO最近仍被這個問題以及提問者的身份弄得猝不及防。“市場總監問我是否可以通過安全和隱私方面的措施構建公司獨有的競爭力。”該CIO回憶說。這位CIO要求不透露自己的名字。
這位CIO剛剛讀過一個安全方面投資的回報率分析案例,對此他持保留態度。這個案例分析來自于某電子商務咨詢公司對US Cutter公司的調查。經過分析,該咨詢公司認為,US Cutter通過在其電子商務站點上展示賽門鐵克認證標章(Norton Secured Seal),使得總體銷售提升了11%,而付費搜索的銷售則大幅提升了52%.
另一位CIO自己承擔了案例總結的任務 -- 假設其所在公司受到攻擊時,如果沒有相應的安全防護措施,會給公司業務、聲譽以及競爭力帶來的傷害。
“我用自己的標題和圖片作為演示的開頭,包括華盛頓郵報的頭條‘FCC Hacked!'.”Robert Naylor說。Naylor曾任聯邦通訊委員會(Federal Communications Commission,FCC)首席信息官,現在以網絡安全專家的身份服務于美國的情報系統。
“隨后,我問FCC的主席以及屋子里的其他人,是否要聽任這種事情的發生。”Naylor說。當時,iPhone 5已經研制完成,FCC比任何人更早的收到了設計圖。如果泄密,將給消費者與公司帶來了嚴重的后果。“但是,如果是政府部門被入侵,整個國家的經濟就可能受到傷害。比如,某外國政府獲得了相關的信息,就可能提早開始進行與iPhone相關的制造和生產。”Naylor解釋到。
隨著入侵事件的不斷發生以及媒體頭條的渲染,很多企業開始認識到信息安全本質上就是一種競爭優勢。但是,CIO們也同時發現,要證明這一點并非易事。能夠有力證明信息安全和商業價值之間聯系的案例太少。那些確實以安全措施構建競爭優勢的企業不愿意分享自身的經驗。而且,每個公司面對的安全威脅以及防護措施都是不同的。CIO和安全專家們雖然能夠爭取到更多的信息安全投資,但是整個過程都有一個共同點:僅僅是準備在事故發生時被動地證明投資的正確性,而不是主動地闡明企業業務會遭受的損失。
之前在一家制藥公司任職時,Naylor就經歷了知識產權被盜的事情。一家國外的競爭對手盜取了某種新藥(已經通過了美國食品藥品管理局(FDA)的審查)的研制公式。“由于已經獲得了FDA的批準,競爭對手推出的產品能夠順利上市,我們在這種藥上面的銷售額也從預期的60億美元降到30億美元。與此同時,我們還得為保護專利權而打訴訟戰。”Naylor回憶說。
這次泄密事件并非通過網絡。“隨著線上數據呈指數性的增長,相應的安全投入卻沒有跟上。”Naylor表示。更糟糕的是,由于網絡安全威脅的多樣化,CIO們不知道該將有限的資金投入到哪個方面 – SQL注入攻擊、網絡釣魚(pishing)、APT攻擊、僵尸網絡(botnets)等等。
Naylor推薦其客戶采用一種新技術,可以自動化地隔離威脅、發送警報給相關人員并對威脅進行分析。這種技術由一家創業公司(Naylor不愿提供其名字)開發,通過與事先建立的網絡模式的比對,分析入侵的模式和行為并隔離之。
安全措施給銀行帶來收入
上世紀90年代末,Sandy Lambert是花旗銀行的首席信息安全官(chief information security officer,CISO)。當時,信息安全的工作被視為純成本的投入。但是,同Naylor一樣,Lambert通過各種機會來證明安全工作的商業價值。在同一家潛在客戶的會議中,她展示了花旗銀行信息安全的整體規劃,強調了銀行各層級強烈的安全意識,以及先進的加密和數字簽名技術。
“當時參與投標的各家銀行都有安全舉措方面的說明,但是客戶事后告訴我,我們的安全規劃是最終贏得合同的主要因素之一 -- 信息安全直接給銀行帶來了收入。”Lambert表示。她現在是安全咨詢公司Lambert &Associates LLC的董事長和ISSA(信息安全系統協會)的創始人。
提升全行業網絡安全和保持企業競爭優勢之間的悖論
當David Cullinane在2012年離任ebay首席信息安全官時,其主導的信息安全規劃每花一美元,就能帶來價值10美元的風險消減。如今,越來越多的安全專家愿意分享如何通過信息安全構筑企業競爭優勢,Cullinane就是其中一員。
“信息安全應該并且能夠成為企業的競爭優勢,但是,并非所有事情都是正面的。”Cullinane說:“那些基于信息安全在競爭中獲勝的企業并不愿意公開其經驗。他們會說’嗯,我知道該做什么事情,這是我的核心競爭力。‘這種態度使得其他公司依舊暴露在威脅之下,我們有責任達成信息的共享和交流。”Cullinane現在是咨詢公司SecurityStarfish的創始人和首席執行官,該公司提供安全威脅的分析報告,并基于客戶的(很多在《財富》榜上有名)數據進行技術開發,幫助客戶降低風險避免損失。
為了推動eBay在安全方面持續進行投入,Cullinane并沒有采用什么高深復雜的方法。首先,通過視覺效果極強的PPT演示,讓安全規劃和商業目標及核心業務緊密結合起來。他用9個方塊代表9種安全風險,每種風險賦予一個數字,代表了其對于業務的價值。同時,還包括每種風險發生的概率以及將會給企業帶來的損失。“通過圖表直觀的展示,人們可以看到潛在的損失是多么嚴重,從而也就知道該在什么地方進行投入了。”Cullinane說。
相對于Niemen Marcus(美國精品百貨店)之類的企業,eBay的業務模式決定了其面臨著更多網絡安全隱患。對此,Cullinane傾向于通過云計算方案來應對:“比如,亞馬遜的AWS就通過了PCI DSS認證(第三方支付行業數據安全標準)。因此,將客戶數據放到上面,從安全角度說和之前并無差別。”
京公網安備 11010502049343號