“这是个最好的时代,这是个最坏的时代,这是智慧的时代,这是愚蠢的时代,这是信仰的时代,这是怀疑的时代…”--狄更斯的《双城记》
鉴于美国白宫预算现状,以及美国正处于自克林顿第一任期以来第一次政府关门的情况,引用这句话似乎很合适,而且很到位。预算讨论是一件很棘手的事情,当有多方争抢预算时,这会是很令人头痛的问题。这种预算问题不仅是政府关心的问题,在所有企业、非营利性组织、学习机构,每天都在进行预算讨论。并且,由于预算现在成为大家关注的重点,我们现在应该认真考虑安全预算了。
如果你担心笔者正在推销什么安全解决方案,你大可放心。笔者希望你在计划2014年的安全预算时,了解自己企业当前的安全状况。首先回答这五个问题:
1.当涉及安全性时,最重要的企业资产得到了应得的关注吗?
2.当前的安全做法能够帮助企业避免合规性和其他监管风险吗?
3.目前的安全基础设施能够适应不断变化的威胁和漏洞环境吗?
4.企业安全优先考虑事项符合企业的发展目标吗?
5.企业的高管重视安全性吗?以及清楚保持最重要数据资产的必要性吗?
你会注意到,在这五个问题中,涉及了技术和业务方面的问题。你可能不知道领导团队对安全的看法,但你必须清楚这一点。你需要让企业领导层了解安全态势,以及安全需求,这样你就可以让安全功能符合业务优先级。
虽然笔者没有说技术因素很容易,但笔者认为大部分安全主管和管理人员更愿意处理安全方面的事情,而不是业务方面的事情。因为IT/安全专业人士往往逻辑地看待问题,他们能够评估以及解决问题,最终建立正确的技术解决方案。他们需要额外的预算和资源来妥善处理企业的安全需求。
大约15个月前,我们发布了一份研究报告,其中强调了首席执行官及其安全官之间的脱节。虽然在技术领域,15个月可能意味着翻天覆地的变化,但在这个期间,并没有太大改变。在我们的发现中,其中令人震惊的统计数据是,虽然所有首席执行官都表示安全是其企业的头三项优先工作,但36%的CEO从来没有听取其首席信息安全官或者负责安全的高级IT经理的更新报告。
这不是因为缺乏兴趣,或者缺乏了解。技术人员往往从技术层面解释问题,而业务领导总是从财务状况和风险方面来看问题。这两种语言往往很难沟通,而这会导致削减或者拒绝关键安全项目所需的预算资金。
下面这段话真的非常清楚地概括了这个问题:当我与其他首席执行官谈论安全问题时,他们经常表达出他们的无奈,那些领导安全项目的人难以简明地沟通什么是威胁,以及威胁对业务的影响,潜在的损失,安全的投资是否会在实际上显成效。
当首席执行官要求其他领导提供更新报告时,他们通常会收到业务报告。以首席财务官为例,当被要求报告企业的财务状况时,他们会制定P&L或者资产负债表,其中会明确列出最重要的信息,让高层都能明白。而如果你要求首席信息安全官提供报告时,他们并不会有效地结合安全问题和业务问题。
当你在计划2014年的安全预算时,请记住,从技术的角度来看,你的预算讨论通常要从业务讨论开始。在既定的预算资金中,你有很多竞争对手,你需要向高管展示最好的业务案例。