為什么有些高管不愿意在安全上加大投入?因為在企業中,只有安全團隊是一支“給的預算越多,發現問題就越多”的隊伍。在WannaCry和NotPetya勒索軟件肆虐之下仍有公司不愿投資安全,原因之一正在于此。
安全事件頻現主流媒體頭條,但是否有助于安全列入董事會議程的前列呢?
一家大銀行的CISO曾表示,雖然自己已經是公司里向董事會做簡報最多的人,但是討論基本是從防護角度出發。“董事會只想知道怎樣確保不受全球爆發和重大問題的侵擾”。
此外,安全驅動業務的觀念,是否真得傳達到并被董事會所接受?
我們都聽說過安全作為業務驅動器的概念,但真的是這樣嗎?哪里體現出來了?給我點案例看看?安全是唯一一支當它要求更多預算的時候,反而給你更多問題的團隊。在我擔任CISO的時候,把錢投到安全工作上,結果就是更多人發現問題,產生更多警報。這是違反成本效益本質的,投入應該給公司帶來經濟收益。但在安全上,投入卻是個無底洞。投入越多問題越多。
——邁克菲首席科學家拉杰·薩瑪尼
難道就這樣接受現狀了嗎?
實際上這里需要觀念的轉變,即只要董事會不再把安全看做獨立的業務領域,而是將其視為公司各個組成部分的基礎,安全是一個屬性,上面的問題就都不存在了。
如何證明安全投入可幫助企業增加經濟收益?回答好這個問題,就是向董事會證明安全價值的關鍵。
京公網安備 11010502049343號