按一般人的惯性思维来讲,所有的投入都应该与产出成正比,投入越多所带来的收益也应该越大。要不然凭什么去投入,或者为什么要投入那么多呢?网络安全也一样,所有机构的安全团队都面临着这样一个问题。那就是如何向老板证明安全投入是有价值的,安全投入带来应有的回报了吗?关于安全价值是否能够通过产出比来衡量,这个问题我的回答是:
为什么这么肯定呢?
因为安全投入的触发因素,与业务或者信息化建设有本质的区别。 无论是业务投入,还是信息化投入,从企业治理的角度来讲,不外乎两个驱动因素。要么是有比较高的预期收益,即未来挣够赚更多的钱;要么是能够提高企业的效率,即未来能够降低更多的成本。无论是收益,还是效率,都很容易进行量化,投入产出比很容易计算。
但是收益与风险是并存的。
一个是如何飞的更高、飞得更快,一个是如何飞的更稳、飞的更久。不存在只有收益没有风险的业务。在追求最大收益的同时,需要控制必要的风险。网路安全投入则不同,既不是以为了提高预期收益,也不是为了提高效率。众所周知,网络安全可能还会不同程度的制约业务发展。网络安全的触发因素正是降低风险,只有意识到并希望控制安全风险,才会启动网络安全投入。
那安全风险是否可以量化呢?很可惜不能。
至今不存在任何一种有效的方法,能够运用量化数据来评价安全风险。所以说,通过量化投入产出比来衡量安全价值,在逻辑上是本末倒置了。
安全价值能无法通过量化投入产出比来衡量,那么安全投入所带来的收益是什么呢?
从技术角度来讲,安全投入最直接的体现,当然是提高网络安全成熟度。比如Gartner的网络安全成熟度与支出图,见下图:
越大的投入,带来越高的网络安全成熟度。反过来说也是成立的,网络安全成熟度越高,需要的投入也越大。
由于管理层通常不会太能够理解技术层面的术语,所以安全团队需要能够将网络安全成熟度转化为业务术语。说明多大安全投入带来什么样的成熟度,该成熟度又能保护业务免受什么样的风险,还有什么样的暴露风险。
证明网络安全量化产出价值是行不通的。
希望管理层认可安全价值,需要让管理层先认识到安全风险,并将风险所带来的影响与业务损失挂钩。
最好参照保险的业务模式,不同的安全投入,可以获得的保障的范围不一样。安全投入越高,能够确保的是有不出大事的能力,但不代表一定不出事。
网络安全成熟度与投入的关系,就像学习成绩与努力程度的关系是一样的。初期效果很容易体现出来,但越往后同样的投入所带来的效果越不明显。
这就与学生考试成绩是一个道理:
只要认真努力、按时完成作业,很轻松地就能够从不及格到及格60分。总结学习方法,加大学习力度,也很容易地能够从及格60分到良好80分。但要想从良好80分到优秀90分以上,所要付出的代价则要远远大于前两个阶段。 就像上面Gartner网络安全成熟度与支出图中,虽然不能量化衡量但还是可以得出这样的结论:蓝色区域所代表基础安全的投入产出比是最高的,绿色区域所代表的高级安全的投入产出比相对适中的。而且黄色区域所代表的前沿安全的投入产出比是最低的,也就是投入需要很大,但是效果却不容易体现。 如图中黄色区域是比较前沿的安全技术,即未来网络安全将与风险管理充分融合,发展趋势与目标只有两个:
所谓前沿技术就是在探索中,而缺乏最佳实践的。
前期的投入很容易交学费,就算取得了效果也难免有“大炮打蚊子”的感觉。这个成本除非是不差钱的大型机构,对于一般的机构来讲,是难以承受得住的,至少是没有把钱花在刀刃上。
过分追求安全技术,为了安全做安全。是安全团队需要警醒避免的。
评估自身所需要达成的成熟度目标,团队、流程、技术协同发展。还是比较务实的做法。
