《Venture in Security》的创始人Ross Haleliuk表示,通常而言,业内会通过两个角度来看待安全,一个是从安全实践的角度,还有一个是从安全业务的角度。
在安全实践角度,安全负责人通常会将安全诠释为“该如何保护组织免受不良分子的侵害”。在过去的几十年里,业内已经建立了许多途径来讨论安全实践,比如DEF CON、Black Hat、BSides和Gartner风险管理峰会等,它们会将安全从业者聚集在一起,讨论新技术的发展。
然而,将安全视为一种实践固然重要,但想要全面了解安全并使其产生更大的影响,这还远远不够。因为网络安全不仅是一项实践,其还是一门极好的生意。
Ross表示,从业务角度看待安全时,人们很快会意识到,安全行业存在许多不同的参与方和利益相关者,比如初创企业、成熟的产品供应商、投资者、经销商、集成商、服务提供商、保险公司、分析公司等等。这些群体有各自的利益、动机和激励机制,其与安全买家的需求相重叠,构成了如今的安全行业。
与“将安全视为一种实践”相比,网络安全业务方面的宣传较少。Ross介绍,除了他自己的博客“Venture in Security”外,还有Cole Grolmus的“Strategy of Security”和Mike Privette的“Return on Security”。“尽管缺乏此类公众信息,但我还是看到越来越多的人在学习如何管理安全业务,比如有些人会参与天使投资集团,像VIS Angels、SVCI和CCL等,还有人则会选择在一些风险投资公司担任顾问角色。”
缺失的一环:网络安全业务管理
Ross表示,所谓的网络安全业务管理不仅仅是“CISO/CSO需要了解公司的业务”。虽然许多安全负责人会和安全供应商相互配合,并从中知晓“自己在安全方面需要关注什么”,但他们仍缺失了一些视角,即在组织内部,网络安全与其他职能领域(无论是工程、IT、营销还是运营)是相似的,因此需要将其作为一个业务领域来管理。
“首先,我们需要定义‘什么是网络安全业务管理’。安全负责人的核心工作是识别、减轻和管理威胁,并在抵抗风险的背景下,为企业和股东创造一定的价值。为了实现这一目标,安全负责人需要依靠人员、流程和技术,他们会雇佣合适的人员,建立有效的团队,选择适合组织需求的工具,同时建立系统和流程来检测威胁、应对威胁,使公司能够在不中断业务运营的情况下,快速从安全事件中恢复。”
而大多数时候,当人们说到管理网络安全时,他们谈论的只是合规性和风险,但管理安全业务不仅仅关乎风险、合规性、年度评估或绩效评估。作为管理安全计划的一部分,CISO/CSO必须做好以下7点:
1、投资安全计划,确保这些投资与公司业务计划相关联;
2、管理供应商关系;
3、管理采购、合同条款和定价;
4、管理计划、项目和工作组合;
5、管理人员;
6、管理资源,包括资源的积累和分配;
7、管理与安全计划相关的报告和指标,评估安全投资的有效性,并确保将资源优化分配到正确的领域。
Ross指出,所有这些责任都属于网络安全业务管理的范畴。“因此,如今的CISO/CSO不仅要确保组织受到安全防护,还要掌握‘将安全作为业务领域来管理’的能力。如此看来,新时代的CISO/CSO具备三个核心职责:识别风险、降低风险和管理安全业务。”
网络安全业务管理的所有权
落实到具体工作,Ross表示,一开始CISO/CSO会独自处理网络安全管理业务,其工作内容会涉及整合不同供应商提供的报告仪表板、Excel电子表格、PowerPoint演示文稿等。
而随着职责的增加,CISO/CSO往往无法兼顾所有事情,因此大部分的业务管理职责会委托给团队中的其他人,比如某高级主管或某副经理,CISO/CSO通常会在中层管理人员之间分配这些职责。然而,随着时间的推移,中层管理在承担其他职责的同时,会耗尽在网络安全业务管理工作方面的精力。当然,如果安全团队能够得到更多的预算,网络安全业务管理也可转交给专门的项目群或项目组。
值得强调的是,虽然一些网络安全业务管理工作可以委托给其他团队,比如供应商(VMO)或项目管理办公室(PMO),但绝大多数职责必须由安全负责人承担。
委派网络安全业务管理职责
虽然网络安全业务管理的概念相对较新,但长久以来,我们确实是围绕此概念在运营,比如安全负责人若需要了解供应商的谈判价格,那么组织中的增值经销商或采购管理办公室(PMO)就可以替他们完成这项工作。显然,这种行事方式是有效的,其可帮助安全负责人缓解工作压力。
Ross表示,安全负责人应该将部分责任委派出去,并将他们没有时间和资源覆盖的领域外包给他人。“而其中最重要的是,安全负责人要了解他们委派的责任是什么,同时要为此建立监督机制和激励措施。当然,托管安全服务提供商(MSSPs)和其他合作伙伴也是如此,每个供应商都具备一定程度的治理和监督,比如明确的责任范围、定期报告、预算计划和服务水平协议(SLA)等。”
Ross指出,如果网络安全业务方面没有得到适当的管理,可能会导致各种各样的负面后果,其包括:
1、安全产品和服务的超额支付;
2、不同买家之间供应商的价格差异过大;
3、年度产品流失率过高;
4、现有安全投资利用不足;
5、无法根据组织的需求定制安全覆盖范围;
将网络安全项目、计划和管理视作为一种职业
对于“如何将网络安全业务管理职责委托给专门的项目组或投资组”,Ross列举了几个例子。以下是嘉年华公司对其网络安全投资组合经理的职位要求:
(来源:领英)
此外,戴森是全球领先的家用电器制造商之一,其产品包括吸尘器、空气净化器和干手机。截至2022年,该公司雇佣了14000多名员工,收入略低于83亿美元(确切地说为65亿英镑)。2023年11月,该公司在其职业页面上发布了关于网络安全组合经理的职位描述:
Ross还例举了其他几家大型企业的求职要求,感兴趣的可去关注原文。Ross表示,尽管网络安全业务管理并不是热门话题,但许多大型企业依旧知晓该如何阐明自己的需求,并从中找到适合自己组织的人才。同时,较为明显的是,这所谓的网络安全项目、计划和投资组合管理功能,大多只存在于大型企业或财富1000强公司。中小型企业的安全负责人暂时无法做到这一点。
安全是一个全新的业务领域
Ross说,作为一个行业,我们之所以才刚刚谈及网络安全业务的管理,才刚刚将网络安全视作一种业务、视作一种项目来管理,是因为网络安全是一个全新的领域,是近年来才刚刚出现的。该领域起源于电话窃听和黑客,直到互联网越发复杂后才逐渐形成为一门专业的学科。最初,网络安全是IT的职责之一,直到过去几十年,它才演变为独立的功能和部门。
由于长期以来,网络安全是IT体系中的一项功能,因此安全从业人员还没有机会培养出相应的商业头脑。过去,IT负责技术,安全从业者则被要求建立和技术相关的安全机制。换句话说,IT领导者负责IT、IT运营和IT业务,而安全人员则负责IT风险。这也就导致了近二十年以来,每当团队要讨论技术业务时,安全从业者都会被排除在外。
如今,安全已不再是IT体系中的某个风险管理项目,其有着自己独立的业务领域,因此,网络安全需要建立指标,需要发展业务管理专业知识,并在组织做出重要业务决策时参与其中。
网络安全的变化速度高于其他行业
Ross表示,安全方面的变化速度要远高于其他行业。这是因为推动该领域发展的不仅是竞争或市场需求,还有积极性更高、资源更充足的不法分子。换言之,对安全人员来说,研究新的攻击载体和投资新的安全工具是一个持续的挑战。
“由于整合、并购以及不同的威胁环境,安全团队目前使用的50-80%的工具可能会面临流失,并在2-3年后被完全取代。而更糟糕的是,不断变化的监管要求会让CISO没有足够的时间从‘灭火工作’中退出,这也就导致了CISO无法将网络安全作为一个业务职能部门来考虑更大的前景。”
但Ross也说了,大型咨询公司或许能为组织带来一定的帮助。顶级咨询公司习惯于为客户构建定制好的解决方案,而不是帮助他们提高内部能力或减少客户对第三方的依赖。“现实中,许多大型企业的安全组织都在与网络安全业务管理作斗争,其为安全咨询公司创造了持续的业务渠道。”
需要成熟的网络安全业务管理
据Ross介绍,2024年安全负责人所面临的挑战又以下几个方面:
1、在快速变化的环境中保护组织免受日益增长的威胁;
2、在其他部门削减开支的同时,证明增加安全投资是合理的;
3、根据新的优先事项管理现有投资;
4、整合支出并使其合理化,减少供应商数量,并确保所有工具都能得到充分的利用;
5、响应法规并确保组织始终能符合不断增长的要求;
6、获得领导层和董事会对安全实施的支持。
虽然业内一直在提倡“安全负责人要能在董事会层面做出贡献”、“安全必须成为商业推动者”、“CISO需要提高水平,成为商业领袖”,但很少有具体的建议来告诉安全负责人:“我们到底应该如何实现这些目标。”
Ross表示,在过去几年里,一些行业会议开始增加以CISO为重点的话题讨论,他们会讨论和安全相关的招聘、团队建设、高管领导力,以及董事会级别的贡献问题。“尽管美国证券交易委员会最终取消了‘需要组织董事会做出网络安全专业知识的年度报告或某些代理披露’的拟议要求,但很明显,公司董事会确实需要具备了解安全和风险管理的人员。而在讨论董事会级别的安全领导力时,我们经常忽略这样一个事实,即在成为企业业务负责人之前,CISO需要确保他们能完全控制安全方面的业务。”
当下较多的安全负责人通常是技术出身,所以对业务的了解度较少。随着未来的趋势越发明朗,这种情况会发生改变,C级高管,无论是CRO、CTO、CHRO,还是CISO/CSO,都需要将自己的职能与业务目标相结合。
一些相应的建议
对此,Ross表示,安全负责人需要更专注于安全事务的会议和讨论。“作为一个行业,我们需要开发出更多的内容。从业务指标,到安全项目、投资组合管理、预算分配、供应商谈判、招聘、团队建设等,都需要一一覆盖。”
其次,组织需要为安全负责人提供高管教育计划,以让CISO学会“如何在不被出卖的情况下”成为更好的领导。如果安全负责人在业务领导技能方面缺乏培养,那CISO的职业道路就无法发展。
另一方面,2023年Panaseer安全领导人报告指出,大多数安全漏洞本可通过企业现有的工具来防止。Ross说:“这与我之前发表的题为‘仅靠工具无法拯救我们,但如果我们有工具,为什么不至少使用它们’的深入研究相一致。我认为更重要的是,安全团队不要将购买工具误认为是在运行安全程序,相反,他们必须全面考虑和组织态势相符的安全计划。”
此外,Ross还建议组织要建立工具和基础设施,以使安全负责人更容易将网络安全作为一项业务职能来进行管理。“我在Balance Theory担任顾问,这家公司为CISO提供了所有可以进行业务管理职能的环境。Balance Theory在行业领先的智能平台上跟踪了3500多家安全供应商和1万多种安全产品。此外,该公司还提供了统一的系统,用于全面管理组织的安全投资,并提供谈判支持,以帮助CISO获得最佳的安全购买价格和条件。”
Ross补充道,值得强调的是,工具并不是主要关注的问题。只要有了正确的心态,安全负责人就可以根据自己的需求集成ServiceNow、Confluence、Sharepoint、Excel电子表格,以及供应商报告等工具。
衡量证券投资回报
在过去的几年里,越来越多的公司致力于降本增效。而随着监管机构不断提高安全基线,CISO的作用比以往任何时候都要明显。与此同时,公司高管和董事会开始关注他们在安全投资时的回报问题。
“组织内部很难衡量安全投资的回报,在衡量不同技术控制措施的影响时也是如此。许多功能领域可以将其工作的影响与收入联系起来,但不能将其与安全联系起来。比如,有SIEM的公司就比没有SIEM的更安全吗?SOAR的安全性又如何呢?与‘安全从业者难以评估不同工具’的情况类似,CISO很难将安全投资的影响传达给财务、运营或it同行。”
一般而言,组织会从每次控制的成本和响应时间来评估安全投资。尽管将成本和风险纳入某个可衡量的单位确实是一种合理的做法,但我们仍要继续寻找可以更好衡量安全投资回报的方法。
向其他领域学习,主要是IT
Ross表示,为了继续完善网络安全业务管理,安全业可以向其他垂直领域进行学习。“我们可以通过与其他负责人的交谈和学习,缩短自己掌握安全业务的时间。”Ross指出,虽然我们仍处于“了解什么是网络安全业务管理”的初级阶段,但销售、营销和金融等其他学科已经积累了“能对业务做出解释”的知识基础,所以安全人员应该和其他行业保持沟通。
鉴于安全性通常遵循IT的发展,因此值得深入了解的是IT业务管理领域。在20世纪70年代,随着IT领域逐渐成为独立的学科,企业将其视为一种旨在处理“技术事务”的部门。之后,由于IT复杂性和技术投资价值的不断增加,IT部门必须学会如何制定战略、规划和管理,这种种需求催生了IT财务管理、技术费用管理、IT投资组合管理、战略投资组合管理等知识领域,最终形成了IT业务管理。其所面临的挑战和当下的安全领域相似:
1、技术投资要与业务目标、战略和优先级保持一致;
2、将战略目标转化为具体项目,并定义明确的目标、流程和标准;
3、控制在不同项目上所花费的时间和资源,并随着优先级的变化重新分配资源或调整项目范围;
4、实时了解组织投资的绩效;
5、使组织保持灵活性,并在接到通知后立即调整战略,以应对监管环境、业务目标等变化;
6、减少在行政和非增值活动上的时间;最大限度地减少重复性;缩短实施新举措所需的时间;
7、有效识别、减轻与IT计划相关的风险;
8、帮助打破孤立,促进业务合作伙伴之间更牢固的关系。
Deloitte 作为四大咨询公司中的一员,他表示:“我们该如何看待IT职能所面临的挑战呢?首先,新技术正在迅速发展,这既是力量的来源,也是风险所在;其次,人才库比以前的全职同等(FTE)模式更加多样化和复杂了,这提供了灵活性,但也增加了管理和规划方面的挑战;再者,利益相关者的期望更多了,这是对过去成就的奖励,是投资增加后的自然期望,也是业绩压力不断增加的成因;传统上,组织以有形的术语来衡量技术的价值,如成本、控制、简化、可靠性和合规性,而现在,技术越来越被要求满足更复杂的期望,如灵活性、流畅性、透明度和体验。组织希望技术不仅能监控价值,还能帮助创造价值。因此,这就需要一种全新的方法来管理企业技术,以使业务和IT战略保持一致。”
Deloitte指出,如果将上述中“技术”替换为“安全”也完全适用,很明显,这两个领域有着许多相同的挑战。Deloitte继续解释了技术业务管理的增值:“技术业务管理有助于降低IT成本、提高投资回报,以及其可将透明度转化为敏捷性。这意味着技术业务管理可同时为企业和个人带来好处。”因此,当技术负责人对自己的运营有了更坚定的把握时,他们在战略和企业决策中就可以提供更多的帮助。这样一来,员工和公司都会受益。
而为了满足IT的需求,Deloitte提出了六个技术业务管理的重点,其分别为业务成果管理、投资组合和财务管理、需求管理、产品和解决方案交付、服务管理,以及人才和合作关系管理。
此外,Deloitte还例举了一些在不同垂直业务中统一管理的解决方案,如下图:
结语
在过去的二十年里,我们看到了IT业务管理、销售管理、市场营销管理的兴起,如今也该到网络安全业务管理兴起的时代了。经由业务管理机制的嵌入,营销部门开始关注支出分配、运行和A/B测试活动,销售部门则开始跟踪市场运行时间、效率和机会转化率。每个业务职能部门都学会了如何实现业务目标,也学会了在投入上追求可衡量的结果。Ross表示,对安全行业来说,这不是“安全部门是否也该这样做”的问题,而是何时开始这么做的问题。
当经济陷入衰退,增长率放缓,企业开始全面推动降本增效时,善于管理业务成为了各个部门的关键能力。与一两年前相比,运行安全项目变得更加困难,当预算有限时,CISO/CSO别无选择,只能变得更为聪明。而当下的经济状况正好创造出了一个绝佳的机会,安全一旦能作为某种业务职能进行管理,其在行业中所处的地位,以及其所带来的影响力、利益链、大环境都会发生翻天覆地的变化。
如今,大多数安全团队的时间、人员和资源都集中在了识别、缓解和管理风险上。而如果能在安全的业务方面进行适度的投资,则可以使CISO/CSO更好地选择适合组织发展的安全工具和资源,同时这也能帮助安全团队规划技能发展方向,以及在投资方面,其能帮助组织更好地将业务目标联系在一起。
而这种种发展反过来还可以提高团队的生产力,节省组织成本,并与供应商达成更好的交易。最重要的是,关注安全业务将有助于CISO从职能领导者发展为业务领导者,安全便能从真正意义上推动组织、行业和社会的发展。
原文地址:
The dark side of the moon: demystifying cybersecurity business management for CISOs and security practitioners (ventureinsecurity.net)
作者:
Ross Haleliuk 《Venture in Security》记者
END
点击这里阅读原文
