文/李鹏飞Leo

按一般人的惯性思维来讲,所有的投入都应该与产出成正比,投入越多所带来的收益也应该越大。要不然凭什么去投入,或者为什么要投入那么多呢?

网络安全也一样,所有机构的安全团队都面临着这样一个问题。那就是如何向老板证明安全投入是有价值的,安全投入带来应有的回报了吗?

安全价值能通过投入产出比衡量吗?

关于安全价值是否能够通过产出比来衡量,这个问题我的回答是:

不是不能,是一定不能。

为什么这么肯定呢?

因为安全投入的触发因素,与业务或者信息化建设有本质的区别。

无论是业务投入,还是信息化投入,从企业治理的角度来讲,不外乎两个驱动因素。

要么是有比较高的预期收益,即未来挣够赚更多的钱;要么是能够提高企业的效率,即未来能够降低更多的成本。

无论是收益,还是效率,都很容易进行量化,投入产出比很容易计算。

但是收益与风险是并存的。

一个是如何飞的更高、飞得更快,一个是如何飞的更稳、飞的更久。

不存在只有收益没有风险的业务。在追求最大收益的同时,需要控制必要的风险。

网路安全投入则不同,既不是以为了提高预期收益,也不是为了提高效率。众所周知,网络安全可能还会不同程度的制约业务发展。

网络安全的触发因素正是降低风险,只有意识到并希望控制安全风险,才会启动网络安全投入。

那安全风险是否可以量化呢?很可惜不能。

至今不存在任何一种有效的方法,能够运用量化数据来评价安全风险。

所以说,通过量化投入产出比来衡量安全价值,在逻辑上是本末倒置了。

安全投入所带来的收益会是什么?

安全价值能无法通过量化投入产出比来衡量,那么安全投入所带来的收益是什么呢?

从技术角度来讲,安全投入最直接的体现,当然是提高网络安全成熟度。比如Gartner的网络安全成熟度与支出图,见下图:

越大的投入,带来越高的网络安全成熟度。反过来说也是成立的,网络安全成熟度越高,需要的投入也越大。

由于管理层通常不会太能够理解技术层面的术语,所以安全团队需要能够将网络安全成熟度转化为业务术语。

说明多大安全投入带来什么样的成熟度,该成熟度又能保护业务免受什么样的风险,还有什么样的暴露风险。

证明网络安全量化产出价值是行不通的。

希望管理层认可安全价值,需要让管理层先认识到安全风险,并将风险所带来的影响与业务损失挂钩。

最好参照保险的业务模式,不同的安全投入,可以获得的保障的范围不一样。

安全投入越高,能够确保的是有不出大事的能力,但不代表一定不出事。

安全建设成熟度真是越高越好吗?

网络安全成熟度与投入的关系,就像学习成绩与努力程度的关系是一样的。初期效果很容易体现出来,但越往后同样的投入所带来的效果越不明显。

这就与学生考试成绩是一个道理:

只要认真努力、按时完成作业,很轻松地就能够从不及格到及格60分。总结学习方法,加大学习力度,也很容易地能够从及格60分到良好80分。

但要想从良好80分到优秀90分以上,所要付出的代价则要远远大于前两个阶段。

就像上面Gartner网络安全成熟度与支出图中,虽然不能量化衡量但还是可以得出这样的结论:

蓝色区域所代表基础安全的投入产出比是最高的,绿色区域所代表的高级安全的投入产出比相对适中的。

而且黄色区域所代表的前沿安全的投入产出比是最低的,也就是投入需要很大,但是效果却不容易体现。

如图中黄色区域是比较前沿的安全技术,即未来网络安全将与风险管理充分融合,发展趋势与目标只有两个:

  • 打通安全要素,整合安全数据,通过实时风险数据进行决策。

  • 快速发现、定位威胁与风险,缩短事件响应时间,提高处置效率。

所谓前沿技术就是在探索中,而缺乏最佳实践的。

前期的投入很容易交学费,就算取得了效果也难免有“大炮打蚊子”的感觉。

这个成本除非是不差钱的大型机构,对于一般的机构来讲,是难以承受得住的,至少是没有把钱花在刀刃上。

过分追求安全技术,为了安全做安全。是安全团队需要警醒避免的。

评估自身所需要达成的成熟度目标,团队、流程、技术协同发展。还是比较务实的做法。

声明:本文来自微言晓意,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。