本文介绍了《企业安全建设指南》中关于安全架构的部分内容,特别是安全预算、安全总结与安全的汇报章节。文章详细阐述了企业如何制定安全预算、进行安全总结以及如何进行安全汇报,并给出了相关的建议和注意事项。
介绍了安全预算的重要性,以及企业如何制定合理有效的安全预算,包括投入比例的参考数据和一些具体的投入领域,如保护和预防、检测和响应、合规和审计等。
阐述了安全总结的内容,包括内外部监管任务完成情况、全年安全事件和安全指标完成情况等,并给出了进行安全总结时需要注意的事项。
讲解了如何进行安全汇报,包括汇报的对象、汇报的关键内容、汇报的形式和注意事项等。还介绍了如何根据汇报对象的不同,满足其利益诉求和关切点,以达到有效沟通的效果。
企业 · 安全建设指南
编者按:
《企业安全建设指南 金融行业安全架构与技术实践》——聂君 李燕 何扬军 编著,资深信安专家十余年实战经验的结晶,安全领域多位专家联袂推荐。
本书系统化介绍金融行业中企业信息安全的架构与技术实践,总结了作者在金融行业多年的信息安全实践经验,致力于解决金融企业信息安全“最后一公里”问题,内容丰富,实践性强。
企业安全建设中离不开安全预算的制订、日常安全总结以及安全汇报,本章将介绍这几个方面的一些实践。
安全预算比例
安全预算的第一个问题是,安全投入占IT投入比例多少是合适的?2015年麦肯锡公司调研了45个全 球500强公司(如图10-1所示),中位数是3%,最多的是10%。
图10-1 安全预算占IT投入比
另外一份调查报告《IT Security Spending Trends(SANS 2016)》显示,公司全年的IT预算用于安全性的百分比,最低的范围是0~3%的公司数量,而预算在4%~6%、10%~12%的公司三年时间(2014-2016)内逐步增加。
上述统计数据基本是基于国外公司的数据,笔者没有看到国内公开的相关数据,金融行业如银行、证券业的安全投入约占IT投入的5%,少数比较重视的会达到7%~10%。
安全投入的另一个趋势是,由于面临安全环境不断地恶化和监管要求的日益提升,安全预算一直处于快速增长中,且普遍高于IT预算的增长幅度。
预算分配
企业信息安全预算该怎么花?《IT Security SpendingTrends(SANS 2016)》显示(见表10-1),预算投入领域排前三的分别是:保护和预防、检测和响应、合规和审计。
吴瀚清先生(道哥)曾经提到一个“三三三原则”:1/3投入到外部情报收集,这是来自外部的红军,包括众测和SRC的建设;1/3投入到安全感知系统建设,只有先看到,才能实施有效防御(特别是防御能力往往会落后于感知能力,所以要解耦);1/3投入到防御系统的建设。笔者实践总结出“五四一原则”:50%用于新增各种安全Sensor的建设,安全Sensor是各种安全态势感知、安全监测的设备、产品和服务的统称。安全感知系统其实就是一个由粗到细的过程,原来没办法监测的安全空白区通过研发和部署新的监测工具实现安全监测并转入安全运营。40%用于维护和补充各种现有安全运维所需。10%用于人的建设,包括面向不同层级对象的安全培训,对企业高层的安全宣导,开发运维人员的安全技能培训,以及最重要的安全团队人员的安全技能提升。
ROI和TCO
衡量安全预算管理成效的两个重要指标是:投资回报(ROI)和总拥有成本(TCO)。
1)投资回报(Return on Investment,ROI),即投入产出比。早期用来判定投资工厂或购买铁路相关的成本是否合理,现被广泛使用在各个领域,在安全领域则用于衡量信息安全投入的产出效益情况。
目前
IT
投入的
ROI
不一定都能衡量出来,安全投入这块怎么算才是合理的?
一般分成财务收益和非财务收
益:
·财务收益,可以减少资损(创收),降低系统性能压力(降本),比如业务安全中打击羊毛党,既降低了费用损失,也减少系统无效性能开销;又比如风控系统做好了,以前需要发验证码的交易,现在不用发了,既提升了客户体验,又大幅降低验证码费用。例如,某行风控系统上线后,验证码发送率降低七成,短时间节约几千万费用。
·非财务收益,从合规性(监管检查无不符合项)、提高安全性、提升用户体验(同人模型降低安全交付认证复杂度)、安全应急和危机公关(保持和提升品牌公信力)等衡量安全性的指标,除了过程指标,如防病毒安装率、正常更新率、检出率和攻防对抗成功率外,还有最重要的两个结果指标,即非自身发现的安全漏洞数和安全事件数。
2)总拥有成本(Total Cost of Ownership ,TCO),用来帮助企业更好地衡量和管理IT投资所产生的价值及其全部成本,指从拥有某种产品开始,直到停止使用该产品期间的所有与其相关的投入成本。
TCO
分析的目的是,识别、量化并最终减少包括相关成本在内的总拥有成本。
TCO
包括三部分:
资本支
出、运维成本和机会成本。
比如,我们决策建设安全运营体系,包括购买和部署安全运营平台所需的硬件和软件(资本支
出
),
安全运营所需的人力和运维服务(运维成本)。
计算运维成本中很容易遗漏和不重视的是管理成
本,遇到一个安全缺陷,最佳的是通过自动化技术解决,不能自动化技术解
决,则要通过管理方式解
决,两者成本是不同的。
再比如,我们在安全运营中创建
UseCase
时,一定要考虑
UseCase
能否运营,考虑因素包括误报率和日均工单数量,只有小于一定数量,运维成本才可控。
机会
成本是一个不可见、非
常难量化的部分。
例如,因关键网络设备故障所引起的营收损失,因不能快速承
载新业务来满足客户的
新需求而导致的利润流失等。
在绝大多数情形下,计算总拥有成本是一个需要持续努力的过程,它既需要考虑技术方面的因素,
又要兼顾非技术方面的因素,最好通过至少
3
年的时间范围来计算
TCO
。
TCO
的好处是,在决策初期提供
了一种强有力的成本估算方法,但这种估算方法只看重成本,所以如果过度看重
TCO
,将使
公司和安全
团队最终采取将开支减到最少的策略,而较少考虑如何最大限度获得回报的策略,实践中应注意规避
TCO
带来的不利影响。
注意事项
虽然最佳ROI难以衡量,但绝大多数公司和决策者不会拿出收入的50%去进行安全建设,安全管理水平不能超越企业经营能力,或者说不能超越太多。大部分金融企业追求的是:
因此大部分决策层表态重视安全,但在和业务发展冲突时会权衡,因此安全负责人要对此有所预知并理解,实际上安全能力提高了,管理层和客户大部分是无感的,安全很多时候难做就在于此。某些安全同仁在安全汇报中尝试归纳一些正向指标,比如业务漏洞数下降了X%,但其实这些是过程指标,最终目标还是“不出事”,最后索性就用了减分的方法。这应该是大部分金融企业的做法。从这点大家就能感觉到,信息安全做得再好,好像也没法加分,出个小纰漏,就是负分,这是行业特性,很难改变。
10.2 安全总结
各类安全总结是企业安全建设负责人很重要的一项工作,如何快速高效地做一份高质量的安全总结是每位安全负责人深感头疼的问题,他们在这方面的能力普遍低于做业务的人。以年底的安全总结和述职报告为例,一份安全总结应该包括:
·内外部监管任务落实情况。包括监管、上级单位来文处理、外部网信、公安网安审计,以及内部风险、合规、稽核审计配合完成情况等。
·安全管理体系建设。信息安全三年规划和20××年工作方案、重点项目建设完成情况、重点安全机制建设完成情况(如开发安全管理机制建设、常态化安全检测机制)、重点任务完成情况(如服务器安全配置规范落地情况)、安全工作跟踪机制、安全报告和安全考核实施情况等。
·安全研究与安全意识培训实施情况。安全研究包括技术研究、技术创新、开源建设等内容。安全意识培训包括全员安全意识、IT部门员工安全意识、安全人员安全意识。
·内部管理。包括绩效管理、执行力管理、激励落实情况。
·人才培养。“走进员工、了解员工、帮助员工”的理念,帮助员工成才的工作情况。
·团队文化建设。吃喝玩乐不是团队文化。团队文化是对员工的思想、心理和行为具有一定约束和规范的软性调控,使全体团队成员在战略目标、运营流程、合作沟通等基本方面达成共识,从而增强凝聚力。团队文化的建设目标是打造团队文化的导向功能、约束功能、凝聚功能、激励功能和品牌效应。
·个人成长情况。个人在技术学习、管理实践、团队协作等方面的成长情况总结。
·存在的不足。包括工作的不足、团队的不足、团队负责人的不足。
·结果指标和过程指标相结合,尽量提供客观数据,横向和行业对比,纵向和历史的自己对比。
·要阐述公司战略和业务发展规划、IT战略,规划下,安全支撑研发运维、安全支持业务发展的情况。
