“百家”,既是“诸子百家”,亦为“百花齐放”。他们是各行各业网络安全专家:有CSO、业界大咖、权威代表,更有奋战在网安一线的实践者、思想者和分享者。安在“百家”,最佳实践,真知灼见,思想火花,期待有你!
李维春
某券商安全总监、诸子云深圳分会会长
(本文得到了老友凯哥、周智坚、俞婷的指点,在此一并谢过。改完这篇之后,看了一下手头的年度计划,突然有一个感觉:今年看来要和“度量”干上了。)
0****1
价值与效能
从业近20年,我认为遇到的最大挑战,从来不是某个技术问题怎们解决,而是来自于老板们的灵魂拷问:“安全团队在公司的价值到底是什么?应该怎们衡量?每年投那么多钱,到底值不值?”这个问题我们过往没法直接回答,总是会采取一些绕弯的方式来回应,比如做一些老板关注的事情并达成预期,尽可能做的比大多数同行更优秀一些,或者是在行业内部塑造一些影响力、正面口碑以此来回应老板。虽然效果也不差,但始终觉得心里有愧。
最近几年,因为整体经营压力较大,于是身边的很多同行又开始被老板追问这个问题,我也会被老板追问“安全团队的效能到底怎么样?”。于是我下决心用点时间解决这个问题。
研究的第一个发现就是,“效能”这个词这些年都被用烂了,尤其是在研发领域,研发效能、团队效能的提法比比皆是,但是我看过的经典书籍、接触过的领域大牛(这里就不点名了),没有一个人、一本书对“什么是效能”有明确的定义,最多只会告诉你怎们去提升研发效能、怎们做效能度量。不知道他们心里对读者、广大受众会不会心里有愧?在追问这个问题的过程中,我有一天突然想到老东家对物流部门的考核指标是“万元薪资发货额”,那照这么说,效能应该就是投入产出比!那么把产出定义、描述出来,这个问题不就解决了吗?
于是当我把“价值衡量”和“效能评价”这两个事情联系在一起的时候,我就得到了研究的第二个发现:安全团队的效能=安全团队对公司的价值产出÷安全团队的成本投入。
在开展后续内容的时候,我们要意识到之所以要回答价值和效能,主要是回应(CXO级别的)公司老板的问题,度量结果主要是给他们看的,让他们做横向和纵向的比较。如果是给安全团队成员看,大概率没必要这么做。
0****2
怎么描述安全团队的价值
根据上面的公式,我就开始探讨如何衡量、评价安全团队对公司的价值,而且必须要采用量化的方式。
正好,2023年我和诸子云几位专家(郑欢、陈静、胡恺健、刘顺、李彦斌、赵军利、邱燊子、张小凤、周奕良)一起共创了个研究项目。项目的最大研究成果,是把安全团队对公司的价值简单、明确地提炼了出来,具体研究成果参见诸子云知识星球。这一点,我认为是非常有价值的,是把这几位专家几十年的从业经历和认知进行了提炼和升华。本文我借用了项目的研究成果。
这里简要描述这几个价值描述的含义:
1、控制风险:指的是通过科学的安全策略、技术、高效流程、安全意识培训等,全面保护企业的网络资产,以确保其免受网络攻击、数据泄露和其他潜在风险的侵害,同时最大程度地维护业务连续性。在这个领域中,我们将重点关注对安全风险的防御、响应恢复、数据泄露、人员意识等。
2、保障合规:指的是确保企业遵守所有相关的网络和数据安全法规、标准和行业准则。在这个领域中,我们重点关注企业通过安全政策、流程和控制措施,确保企业严格遵守法律、监管要求和行业标准,以确保数据和资产安全,并降低合规风险。这里特别说的是,不合规本身对企业来说也是一种“风险”,按道理也可以合并到“控制风险”的价值描述中,但我们认为合规本身是基础的、重要的价值,有的单位可能只需要保障合规就可以了,因此单列这一项。
3、赋能业务:指的是通过网络安全措施,积极支持和增强企业的核心业务活动,如降低黑灰产对业务造成的经济损失、提升产品的安全能力同时提升用户体验,甚至可以帮助单位开拓客户、促进交易、增加营收、提高利润,或者是通过客户和监管机构要求的认证认可等。在这个领域中,我们将重点关注安全问题直接造成的业务经济损失、以及安全如何支撑企业打击针对业务的违法犯罪活动。
4、提升效能:指的是通过落地网络安全最佳实践、引入创新技术等,优化企业的运营流程、提升运营效率、降低运营成本等。在这个领域中,我们将重点关注企业的效率提升、质量保障和成本优化三个方面。
5、塑造品牌:指的是通过安全技术创新、研究、分享等,积极提升企业的品牌声誉和信誉。在这个领域,我们将重点关注企业在安全领域的研究创新成果,以及通过安全创新的技术,为企业声誉带来的积极影响,如形成行业内的标杆、获得用户的信任等。
6、社会价值:指的是企业不仅致力于保护自身的网络资产,还积极努力保护客户、合作伙伴和社会大众,以为整个国家和社会创造价值,确保行业、国家乃至全球范围内的安全水平提升。在这个领域,我们将重点关注企业获得的来自国家的表彰认可、对网络安全产业的贡献、安全公益的开展情况等。
0****3
怎么度量安全团队的价值
这是最难的一步,也可以是最简单的一步。
说它容易,拍着脑袋、凭直觉选几个度量指标定义出来就可以了。说它难,要知道这么多年来这么多比我优秀的安全专家没有办法很好地给老板展现成果、价值,就是因为安全的价值不好量化,用什么指标都会被挑战。但是和诸子云专家们合作的过程中,给了我很多灵感,我觉得可能找到了一些方法和恰当的指标。废话少说,先给结果。
首先,是价值维度的权重、选择度量指标的一些考虑。
然后,是这些度量指标怎么度量和打分。
单纯给出指标是不够的,因此有必要解释在以上过程中的思考。
1、控制风险:最开始我试图建一个模型,来全面衡量企业的风险状况,搞了一阵发现最后搞不定,太难了、而且太专业太技术,估计老板听不懂。再三考虑之后,我决定用“价值指标”+“能力指标”的方式来解决。“价值指标”就是“别人发现的风险、事件数量少、损失低”,能力指标就是“MTTR、MTTD”,简单直接好用。
2、保障合规:合规体现最终的成果就是“没有被发现不合规”。因为合规也是一个建设、改进的过程,法律法规出台到监督落地有周期,以及对重点企业的优先分级管理,所以在企业内部做合规是需要考量平衡合规和成本,逐步做合规的过程,即使有不合规之处,但是没有被客户、监管机构发现,就是可以接受的及时发现改进即可。因此以处罚数量和等级和定义。
3、赋能业务:以安全保障减少的、挽回的经济损失计算,一般是指在应对黑灰产、薅羊毛等业务欺诈活动中减少的、挽回的经济损失,当然也包括上文提到的开拓客户、增加营收、提升利润、获得认证。以前有人说过一个例子,给老板汇报说每次DDoS攻击可能给公司造成多少损失,我阻挡了多少DDoS攻击,可以视为帮公司减少多少经济损失,这种算法对游戏、电商高度依赖网络服务的行业适用,对其他大多数行业不太适用。
4、提升效能:运用了安全工具(目前看来大概率是DevSecOps工具,或类似SIEM、SOAR、自动化脱敏一类的安全自动化工具,或集成安全服务、安全平台)之后,为公司节约的成本、提升的效率、提高的质量,将这些成本计算出来。
发现了多少漏洞、修复了多少漏洞,严格来说也可以被视为提升了公司产品质量、提升了公司运营效能,但这种价值我觉得归类到“控制风险”里面比较合适。
5、塑造品牌:以高价值的分享、创新、课题、标准、传播塑造在行业、社会上的影响力,提升单位的被信任程度。数量多、传播量大、评价正面,则正面影响力大。
6、社会价值:情报、漏洞的价值就不说了,单独解释一下另外2个。
(1)对网安行业的促进作用:我认为甲方单位对行业的促进作用主要体现在引领产业侧供应商、服务商提供优质的、投资收益率高的产品和服务,其中最重要的手段就是引导厂家不打价格战。那么怎么做?根据诸子云项目里面的研究,当期采购的安全产品、服务中,价格因素占比不高于30%的采购项目,基本就能达到上述目的。因此要看不打低价的采购项目的数量、金额占比;
(2)信创安全产品覆盖率:这是国家战略,公司如果认为要支持,则安全团队就要体现对这个领域的支持,最直接的价值就是适用信创安全产品。
当然,还要再说几点
1、以上指标的选择,是我对现在所在公司、行业的判断,对我所辖安全团队的价值指标的选择,具有很强的行业属性,是我认为的行业企业的价值模型。每个行业都会有差别,主要就是各自权重比例、度量指标的选择差异,但我认为同一个行业内大体是相同的。比如上面这个模型我在实际运用中,其实我是删除了“赋能业务”这一项的,因为我认为本行业的企业基本不用承担这个价值。
2、以上6大价值维度中,还有其他度量指标可以选择,具体可参见诸子云2023年12月底发布的《企业安全价值度量研究报告》。比如说对于运营商的安全团队,他们在“社会价值”这个维度还可以有“年度反诈数量和挽回金额”的指标。
3、运用这个度量指标模型,可以跟行业同行比,也可以跟自己比,前提是这个模型里面的权重、度量指标要基本稳定。
4、指标的选择上,能用价值指标就用价值指标,尽可能用老板听得懂的语言阐述价值指标,实在不行再采用(老板可能听不懂的)专业、技术指标,或能力指标。
5、一定会有人说,“事件造成的经济损失”、“为公司节约的成本”这些指标不好算、不科学、没法操作。如果你这么认为,应该反思一下是不是因为自身能力不行,或者是你根本不想这么做。我认为,只要不是奢求面面俱到,完全可以找到一个各方都能接受的算法和指标。如果有人想挑战这一条,请拿出更合适的方法,我们共同探讨。
0****4
如何区分安全工作的价值和安全团队的价值
写完上面这一段,我想起凯哥一个很著名的观点,就是要学会区分安全团队的价值和安全工作的价值。安全工作的价值,是从事情的视角看待价值;安全团队的价值,是从组织和人的视角,讲的是专业安全团队的工作给公司带来的价值。
举个例子,典型如安全开发类工作。如果这个工作是开发团队自己在做,且我们是在度量安全团队的价值,那么这部分开发安全的价值就要被刨在外面。但如果安全团队为开发团队予以赋能,提供了知识库、工具和流程,那么这部分开发安全的价值就可以被视为安全团队的价值。
从老板角度来看,“安全工作的价值”和“安全团队的价值”可能没有区分那么明显,但是我们自己要有一个明确的概念和界限,这样可以在度量指标的选择和计算上就会更加精准。
0****5
怎么度量安全团队的成本
成本这块反而好计算。一般包括
1、当期安全类固定资产、系统建设的投入,是以合同额还是付款额为准,你定。
2、当期安全类外包服务、维保服务的投入。
3、安全团队占用公司公共资源的投入,比如场地、水电空调、行政办公费用。
4、安全团队正编、外包的总人力薪酬包。
5、安全团队占用的IT基础设施资源的投入,比如云服务、虚拟机、网络等。
以上相加即可。
0****6
怎么度量安全团队的效能
如前所述,安全团队的效能=安全团队的价值产出÷安全团队成本。最后得到一个效能值。
我只能告诉你,按照上面的计算公式、经过百分比扩张,我的安全团队效能值是4.35/万元。我也不知道是高是低,得到下一年再做测算的时候才能比较。非常期待同行也能参照上面这个模型做些测算,咱们对比对比,相互学习一下。
在和几位好友讨论的过程中,他们都给我指出:上面这个公式里面,价值产出是个百分以内的值、单位是“分”、有上限、,成本是个绝对值、单位是“万元”、无上限,两者维度不一样,不应该放在同一个公式里面计算,应该把“成本”改成“安全投入占比”。
这一点,我斟酌了好久,决定采纳他们的观点,修正后的公式是:安全团队的效能=(安全团队的价值产出)÷(安全团队总投入在当年IT总投入的占比)。当然,这里要注意,投入占比的分子、分母口径要一致。
0****7
怎么运用度量结果
1、跟自己比。价值度量、效能度量我认为频度不宜太密集,一年一次足矣。
2、跟同行比。如果你能获得同行的大概情况,或者同行照同一个模型做了测算之后,互相比照一下,大致知道差距和排名,也能回答老板的问题吧。
如果银行、保险、证券、物流、互联网、运营商、电商、制造业、高科技都能分别拟出一个行业模型,大家每年都照这个评估一下,我觉得可能更有意义。
3、单独把价值度量模型拿出来跟老板沟通、达成一致,每年底汇报的时候把结果拿出来,每年比,可以告诉老板:“每年为公司实现的安全价值是在稳步提升的”。这个汇报、对比的过程,本质上也是一个和老板对齐认知的过程:“老板,你看我对公司的核心价值是不是就是这些?要不要改改?”
END
点击这里阅读原文
