當(dāng)心！內(nèi)部安全標(biāo)準(zhǔn)未必靠譜

隨著預(yù)算規(guī)劃時間的臨近，關(guān)于如何衡量安全是否成功，從而為資源分配或擴張找到理由的討論就回到了議事日程。有很多文章可以幫助我們確認(rèn)安全標(biāo)準(zhǔn)，用以證明安全項目的價值，但是在選擇標(biāo)準(zhǔn)之前，我們必須首先定義成功。而成功可能更是一門藝術(shù)而非科學(xué)。

安全工具也擅長告訴用戶企業(yè)遭受了多少攻擊，有多少系統(tǒng)得到了強化，有多少認(rèn)證需要第二個因素。通過合規(guī)審計，企業(yè)還可以得到一些關(guān)于控制是否符合策略的報告。雖然依賴現(xiàn)成的標(biāo)準(zhǔn)是很容易的，但是我們?nèi)绾未_定哪些標(biāo)準(zhǔn)符合整體的業(yè)務(wù)優(yōu)先級，從而能夠真正衡量安全是否成功？

成熟的企業(yè)都傾向于衡量風(fēng)險以及如何減輕風(fēng)險，這正是IT安全最終要關(guān)注的全部。但是，即使所謂安全性做得最好的企業(yè)也可能用錯誤的標(biāo)準(zhǔn)來評估自己。

為真正衡量安全項目的成效如何，我們首先必須定義成功。

誰來定義成功？

安全團隊和其他團隊一樣都趨向于自己定義成功。但是，如果預(yù)算有正當(dāng)理由，或者企業(yè)有很強的能力，那么成功的因素就不能僅由內(nèi)部的人員來決定。問題是，企業(yè)并不知道除了“不被黑客攻擊”和“讓審計人員高興”外，又該如何描述從安全中得到什么。

有一種容易使用的可有助于縮小安全團隊和企業(yè)管理人員之間差距的模式，即由底層到高層分別為目標(biāo)、任務(wù)、策略、計劃、行動五部分組成的結(jié)構(gòu)。這是一種在性質(zhì)上的層級結(jié)構(gòu)，所以每一層都支持其上層。所以，我們不妨舉個例子，可以從一個現(xiàn)實的目標(biāo)開始：

減少數(shù)據(jù)泄露或信息丟失的風(fēng)險，以滿足行業(yè)內(nèi)的標(biāo)準(zhǔn)。

由此可以確立任務(wù)如下：將完成系統(tǒng)更新（應(yīng)用程序補?。┑臅r間減少50%；增加雙重認(rèn)證的使用，以覆蓋全部的敏感數(shù)據(jù)；對所有管理員實施特權(quán)賬戶管理。

完成任務(wù)都要有相關(guān)的策略，有分解計劃，進而為員工分解為特定的行動，以便于執(zhí)行。

策略和行動推動著整體的企業(yè)成功，而目標(biāo)是可測量的要素，這些正是企業(yè)與業(yè)務(wù)關(guān)系經(jīng)理定義成功的因素。在此過程中，為實現(xiàn)共同的目標(biāo)而進行的成本教育也是一個步驟。如果決策者在成本問題上猶豫不決，就有了改變目標(biāo)的空間，所以，對企業(yè)來說這是很現(xiàn)實的。

衡量企業(yè)的健康程度

與企業(yè)協(xié)作是一種相互關(guān)系。雖然安全團隊有必要教育企業(yè)的合伙人需要什么才能完成任務(wù)，企業(yè)也必須準(zhǔn)備向安全團隊提供具體計劃和需要優(yōu)先考慮的問題。換言之，企業(yè)必須分享其成功的衡量標(biāo)準(zhǔn)。

這種信息必須能夠告知安全計劃和優(yōu)先處理的問題。必須至少每年重新評估一次當(dāng)前的預(yù)算項目，用以決定項目是否必要以及是否符合業(yè)務(wù)計劃。

例如，如果你將全部的預(yù)算都放在下一代防火墻的升級上，卻發(fā)現(xiàn)通過新移動應(yīng)用更好地吸引客戶的業(yè)務(wù)計劃中，有管理員在銷售用戶的個人信息，那么安全也就偏離了方向。隨著數(shù)字時代的快速發(fā)展，非常關(guān)鍵的問題是，由于競爭者推動著企業(yè)在應(yīng)對不斷變化的市場需求時，變得日益靈活，從而使得企業(yè)以安全為核心而進行應(yīng)對的時間也相應(yīng)縮短。

衡量安全性是否成功的藝術(shù)歸結(jié)為與業(yè)務(wù)的一致性。雖然這種衡量未必總是明顯的一對一的匹配，卻需為此付出努力。企業(yè)不應(yīng)僅通過內(nèi)部的固有標(biāo)準(zhǔn)來衡量安全性，而是應(yīng)利用共享企業(yè)目標(biāo)來推動安全性與業(yè)務(wù)優(yōu)先級的更大一致性。