導(dǎo)讀：在企業(yè)內(nèi)為信息安全爭(zhēng)取預(yù)算是很具挑戰(zhàn)性的工作，在本文中，專(zhuān)家Joseph Granneman提供了有關(guān)戰(zhàn)略性安全預(yù)算的建議。

作為一個(gè)安全管理和預(yù)算方面的新手，我正在試圖制定一個(gè)有效的信息安全支出計(jì)劃。對(duì)于做好戰(zhàn)略性安全預(yù)算，你是否有任何建議呢?

Joseph Granneman：在過(guò)去十年中，信息安全技術(shù)已經(jīng)得到了很多改進(jìn)，例如下一代防火墻和改進(jìn)的入侵防御系統(tǒng)。然而，在過(guò)去一年中，我們也看到非常多成功的網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露事故。現(xiàn)在攻擊變得越來(lái)越復(fù)雜，我們需要新的防御技術(shù)來(lái)與攻擊者進(jìn)行網(wǎng)絡(luò)軍備競(jìng)賽。但攻擊的復(fù)雜性并不一定是數(shù)據(jù)泄露事故激增的根本原因。

數(shù)據(jù)泄露事故的增加只是因?yàn)楹苌倨髽I(yè)將信息安全作為戰(zhàn)略重點(diǎn)。信息安全往往被視為成功部署新項(xiàng)目或新產(chǎn)品的路障，這種看法直接關(guān)聯(lián)到信息安全產(chǎn)業(yè)的不成熟性。在乘客安全方面，汽車(chē)行業(yè)也經(jīng)歷著類(lèi)似的階段。安全帶和安全氣囊只是根據(jù)法律要求而被添加，因?yàn)殚_(kāi)發(fā)更安全的產(chǎn)品需要更多時(shí)間，并要到很久以后才會(huì)帶動(dòng)汽車(chē)的銷(xiāo)售。安全預(yù)算通常只是滿足最低限度的合規(guī)要求，而沒(méi)有被納入企業(yè)戰(zhàn)略，其實(shí)后者這樣才更有效。

首席信息安全官或信息安全經(jīng)理可以采取一些步驟來(lái)幫助將信息安全從開(kāi)銷(xiāo)費(fèi)用轉(zhuǎn)變?yōu)閼?zhàn)略機(jī)會(huì)。下面是三個(gè)例子：

首先，安全領(lǐng)導(dǎo)很重要。大多數(shù)企業(yè)領(lǐng)導(dǎo)者對(duì)CISO的職能范圍只有基本的了解。他們知道這個(gè)角色的存在是為了提供安全性和合規(guī)性。這種情況可以被視為是一個(gè)缺點(diǎn)，但這實(shí)際上是一個(gè)機(jī)會(huì)。這種模糊性為CISO提供了機(jī)會(huì)來(lái)為自己重新定義這個(gè)角色，同時(shí)可將對(duì)信息安全的看法從成本中心轉(zhuǎn)變?yōu)閼?zhàn)略合作伙伴。強(qiáng)有力的信息安全領(lǐng)導(dǎo)還可以從其他業(yè)務(wù)領(lǐng)導(dǎo)獲得戰(zhàn)略安全預(yù)算所需的支持。

其次，避免所謂的滅火式做法。很多安全領(lǐng)導(dǎo)掉入了只能響應(yīng)的陷阱。這可能是由于缺乏資源、不安全的環(huán)境，或者習(xí)慣采用反應(yīng)式做法。有效的安全領(lǐng)導(dǎo)者知道，為了構(gòu)建有效的戰(zhàn)略，他們不能總是遠(yuǎn)離前線。他們可能需要外包某些功能，或構(gòu)建自動(dòng)化流程來(lái)專(zhuān)注于更大的藍(lán)圖。這似乎有悖常理，但花時(shí)間來(lái)向領(lǐng)導(dǎo)層構(gòu)建用例來(lái)獲得更多資源，要比抓住鍵盤(pán)來(lái)編寫(xiě)新的防火墻規(guī)則有著更大的整體影響。

為信息安全戰(zhàn)略性預(yù)算獲得支持的最后一步是專(zhuān)注于制定和報(bào)告指標(biāo)。安全領(lǐng)導(dǎo)必須非常坦誠(chéng)地交代現(xiàn)有信息安全計(jì)劃的缺點(diǎn)，并以指標(biāo)和報(bào)告的方式展示可操作的數(shù)據(jù)，這是提供誠(chéng)實(shí)評(píng)估的最佳方式。不同的企業(yè)安全部門(mén)可能會(huì)使用不同的指標(biāo)，因?yàn)檫@些是企業(yè)特有的指標(biāo)。有些指標(biāo)通常會(huì)聯(lián)系到企業(yè)提供的特定產(chǎn)品或服務(wù)，這些指標(biāo)可能產(chǎn)生最大的影響;一個(gè)很好的指標(biāo)示例是：通過(guò)企業(yè)開(kāi)發(fā)的移動(dòng)應(yīng)用丟失個(gè)人信息的客戶百分比。企業(yè)通過(guò)部署更強(qiáng)的安全做法，這個(gè)數(shù)據(jù)應(yīng)該最終會(huì)減少，并可以以此要求戰(zhàn)略性安全預(yù)算。

戰(zhàn)略性安全預(yù)算可以幫助避免很多最近發(fā)生的大型數(shù)據(jù)泄露事故。這種預(yù)算類(lèi)型很難以得到，因?yàn)樾畔踩I(lǐng)域仍然沒(méi)有得到企業(yè)領(lǐng)導(dǎo)的理解。首席信息安全官或信息安全經(jīng)理必須提供強(qiáng)有力的領(lǐng)導(dǎo)力來(lái)幫助這些領(lǐng)導(dǎo)了解戰(zhàn)略性信息安全預(yù)算的價(jià)值。他們也需要讓自己從日常滅火式活動(dòng)中脫離出來(lái)，以便把重點(diǎn)放在高層次的戰(zhàn)術(shù)，其中包括制定和報(bào)告指標(biāo)數(shù)據(jù)。

筆者希望有這么一天，企業(yè)領(lǐng)導(dǎo)了解了信息安全在企業(yè)戰(zhàn)略中的重要性，正如氣囊和安全帶對(duì)于汽車(chē)的重要性。現(xiàn)在是信息安全領(lǐng)域激動(dòng)人心的時(shí)候，因?yàn)楝F(xiàn)在的首席信息安全官和信息安全領(lǐng)導(dǎo)有機(jī)會(huì)開(kāi)拓出一條道路。