詳細信息系統安全在當今的企業中非常重要,以遏制許多網絡危險與信息財產的關係。儘管細節安全和安保主管提出了極好的分歧,但組織中的董事會和長者監督可能仍會拖延時間,以批准信息安全預算計劃、簽證 vi 其他項目,如營銷和促銷,他們認為有更好的投資回報率(ROI)。那麼,作為首席信息安全官 (CISO)/IT/信息系統經理,您如何說服監控部門或董事會相信投資於信息安全和安保的要求?
當我與當地一家大型金融機構的 IT 主管交談時,他分享了他在獲得授權的信息安全和安保預算方面的經驗。IT 部門正在與營銷部門爭奪一些資金,這些資金是從年度預算計劃中的財政儲蓄中提供的。” 你看,如果我們購買這個廣告活動,不僅目標市場部門將幫助我們創造和超越數字,而且估計表明我們可以將我們的融資狀況增加一倍以上。” 建議廣告和營銷人員。另一方面,IT 的爭論是“通過積極採購更強大的入侵避免系統 (IPS),他們將減少安全案例”。監控部門決定將增加的資金分配給廣告。IT 人員當時想知道,他們做錯了什麼,營銷人員解決了!那麼,您究竟如何確保為您的詳細信息安全任務獲得該支出計劃授權?
管理層必須重視不作為的後果,因為企業擔心,如果發生違規行為,由於對品牌的信心下降,組織不僅會遭受在線聲譽以及客戶的損失,然而,同樣的違規行為可能會導致收入損失,甚至還會對組織提起訴訟,在這種情況下,好的廣告和營銷項目可能無法挽回您的公司。
任何類型公司的總目標都是為股東或利益相關者創造/包含價值。你能衡量你打算獲得的對策的好處嗎?您使用什麼跡象來證明對信息安全的金融投資是合理的?您對對策的論點是否與組織的總體目標一致,確切地說是CISM 認證,您如何保證您的行動將有助於組織實現其目標並提高股東/利益相關者的價值。例如,如果公司專注於客戶獲取和客戶保留,那麼採購您推薦的信息安全選項如何幫助實現這一目標?
絕大多數信息保護項目可能由外部準則或合規要求驅動,或者可能是對外部審計人員當前調查的反應,甚至是最近系統違規的結果。例如,金融監管機構可能會要求所有金融機構都執行 IT 漏洞評估工具。因此,公司必須遵守規定,否則將面臨罰款。雖然對這些監管需求的反饋是必不可少的,但簡單地連接漏洞和“滅火”技術並不能持久。孤立地應用流程變更可能會導致在孤島中工作、對比信息和術語、不同的現代技術以及缺乏與組織戰略的聯繫。
對特定監管需求的不熟練反應可能導致實施與組織的業務方法不相符的補救措施。出於這個原因,為了克服這個問題以及獲得資金授權和管理支持,您的辯論和商業案例需要證明您打算採購的服務如何與更大的圖景相匹配,以及這如何與一般以保護公司資產為目的。
您當然需要與監控進行交互,這是您希望獲得的補救措施的基本業務價值。您肯定會從揭示/確定當前成本、後果以及不做任何事情的影響開始;如果您希望獲得的對策沒有到位。您可以將這些分類為:
直接成本——公司因沒有採取補救措施而產生的價格。
間接價格 – 可能浪費的時間、主動性以及各種其他組織資源。機會費用 – 因失去商業機會而產生的費用,如果您推薦的保護服務或服務沒有到位,以及這將如何影響公司的業績記錄和商譽。
公司因違規而面臨哪些監管罰款?
服務中斷和效率損失的影響是什麼?
究竟該公司將如何受到影響,她的品牌名稱或在線聲譽可能導致巨額金錢損失?
經營風險管理不善會造成哪些損失?
我們因欺詐而面臨哪些損失:外部損失還是內部損失?
參與減輕風險的個人花費了多少成本,否則這些風險會通過部署對策而降低?
信息丟失(這是一項了不起的組織資產)將如何影響我們的運營以及從此類災難中恢復的實際成本是多少?
由於我們的不作為而導致的任何違約行為的法律含義是什麼?
根據 Ponemon Institute 和 Tripwire, Inc. 於 2011 年進行的一項研究,發現組織中斷和績效損失是違規行為造成的最嚴重後果之一。通常,不合規價格是被抽樣的 46 家公司合規成本的 2.65 倍。除兩種情況外,不合規費用超出了合規成本。[2] 這意味著,與不採取任何類型的對策相比,投資是為了保護信息財產並遵守監管要求而進行的信息安全,實際上成本更低,並且還最大限度地減少了開支。
一個偉大的預算提案需要得到公司其他各個服務部門的協助。例如,我確實向 IT 主管推薦了之前指出的,可能他一定已經與廣告部門進行了討論,並向他們解釋了一個有信譽且安全的網絡如何使他們更容易通過自我營銷進行營銷。信心,很可能 IT 不會對預算計劃進行競爭。我不相信廣告和營銷人員希望面對消費者,因為可能存在解決方案不穩定、系統違規以及停機的問題。因此,您應該確保您得到所有其他公司單位的幫助,並向他們闡明建議的選項如何使他們的生活更輕鬆。
與行政/董事會建立聯繫,對於未來的預算計劃授權,您需要發布並提供報告以監控您最近獲得的入侵檢測系統的網絡異常數量,例如,位於一周內,現在現場循環時間以及系統在沒有中斷的情況下運行的時間。最小化的停機時間意味著你已經完成了你的工作。這種方法肯定會向管理層表明,例如,基於保護公司聯繫和信息財產所需的計劃價值,可以間接降低保險成本。
獲得您的信息安全和安保任務預算計劃的批准,如果要提供價值提升的主要關注點,不需要太多障礙。您需要問自己的主要問題是您推薦的解決方案如何提高利潤?行政/董事會需要的是保證您推薦的解決方案將產生真正的長期公司價值,並且與組織的總體目標相一致。