怎样让你的安全预算更具战略性?
Joseph Granneman是SearchSecurity.com的信息安全管理方面的专家。他拥有超过20年的信息安全方面的技术经验。
作为一个安全管理和预算方面的新手,我正在试图制定一个有效的信息安全支出计划。对于做好战略性安全预算,你是否有任何建议呢?
Joseph Granneman:在过去十年中,信息安全技术已经得到了很多改进,例如下一代防火墙和改进的入侵防御系统。然而,在过去一年中,我们也看到非常多成功的网络攻击和数据泄露事故。现在攻击变得越来越复杂,我们需要新的防御技术来与攻击者进行网络军备竞赛。但攻击的复杂性并不一定是数据泄露事故激增的根本原因。
数据泄露事故的增加只是因为很少企业将信息安全作为战略重点。信息安全往往被视为成功部署新项目或新产品的路障,这种看法直接关联到信息安全产业的不成熟性。在乘客安全方面,汽车行业也经历着类似的阶段。安全带和安全气囊只是根据法律要求而被添加,因为开发更安全的产品需要更多时间,并要到很久以后才会带动汽车的销售。安全预算通常只是满足最低限度的合规要求,而没有被纳入企业战略,其实后者这样才更有效。
首席信息安全官或信息安全经理可以采取一些步骤来帮助将信息安全从开销费用转变为战略机会。下面是三个例子:
首先,安全领导很重要。大多数企业领导者对CISO的职能范围只有基本的了解。他们知道这个角色的存在是为了提供安全性和合规性。这种情况可以被视为是一个缺点,但这实际上是一个机会。这种模糊性为CISO提供了机会来为自己重新定义这个角色,同时可将对信息安全的看法从成本中心转变为战略合作伙伴。强有力的信息安全领导还可以从其他业务领导获得战略安全预算所需的支持。
其次,避免所谓的灭火式做法。很多安全领导掉入了只能响应的陷阱。这可能是由于缺乏资源、不安全的环境,或者习惯采用反应式做法。有效的安全领导者知道,为了构建有效的战略,他们不能总是远离前线。他们可能需要外包某些功能,或构建自动化流程来专注于更大的蓝图。这似乎有悖常理,但花时间来向领导层构建用例来获得更多资源,要比抓住键盘来编写新的防火墙规则有着更大的整体影响。
为信息安全战略性预算获得支持的最后一步是专注于制定和报告指标。安全领导必须非常坦诚地交代现有信息安全计划的缺点,并以指标和报告的方式展示可操作的数据,这是提供诚实评估的最佳方式。不同的企业安全部门可能会使用不同的指标,因为这些是企业特有的指标。有些指标通常会联系到企业提供的特定产品或服务,这些指标可能产生最大的影响;一个很好的指标示例是:通过企业开发的移动应用丢失个人信息的客户百分比。企业通过部署更强的安全做法,这个数据应该最终会减少,并可以以此要求战略性安全预算。
战略性安全预算可以帮助避免很多最近发生的大型数据泄露事故。这种预算类型很难以得到,因为信息安全领域仍然没有得到企业领导的理解。首席信息安全官或信息安全经理必须提供强有力的领导力来帮助这些领导了解战略性信息安全预算的价值。他们也需要让自己从日常灭火式活动中脱离出来,以便把重点放在高层次的战术,其中包括制定和报告指标数据。
笔者希望有这么一天,企业领导了解了信息安全在企业战略中的重要性,正如气囊和安全带对于汽车的重要性。现在是信息安全领域激动人心的时候,因为现在的首席信息安全官和信息安全领导有机会开拓出一条道路。
作者:Joseph Granneman
来源:51CTO
怎样让你的安全预算更具战略性?相关推荐
- 怎样制定IT预算计划?
IT预算制定过程非常复杂,对于厌恶数字或预算制定以及申请过程的IT主管来说,这可能是一项艰难的工作.本文可以帮助IT主管简化预算流程,了解如何将预算当做工具来规划和验证IT战略,并通过预算计划提高企业 ...
- 培训师 每小时多少钱_每个产品设计师需要了解的品牌知识
培训师 每小时多少钱 重点 (Top highlight) These days, it pays to know about brand. The rise of startups has crea ...
- 从COVID-19大流行中汲取哪些教训?10种方法帮CIO预防下一次危机
导读:以下这些从COVID-19大流行中汲取的经验教训,可以帮助IT领导者和TI经理为下一次紧急情况做好准备. 您的IT团队准备好应对COVID-19大流行了吗?您的网络可以一次使用VPN处理所有员工 ...
- [苹果解密]创新是伟大公司诞生的源泉--Apple再度成为美国最大上市公司
分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow 也欢迎大家转载本篇文章.分享知识,造福人民,实现我们中华民族伟大复兴! 近日不论 ...
- 产品负责人 VS 产品经理
概述 Scrum框架创造了对新角色的需求,其中就包括 "产品负责人" .这不可避免额外地导致对产品负责人和产品经理角色的误解和误用,对团队产生不必要的压力. 角色混淆会带来噪音和摩 ...
- IBM最新洞察:我们所熟知的通信服务时代已经结束
前一阵子,IBM商业价值研究院发布了<我们所熟知的通信服务时代已经结束>洞察报告,5G 和边缘计算将如何帮助界定谁能在蓬勃发展的数字经济中获胜.以下为全文.公众号后台回复"916 ...
- 云呐|最新酒店行业固定资产管理办法,酒店实物资产管理系统
固定资产管理系统可以快速有效地收集和管理企业的整体资产数据信息,为管理者提供更稳定的数据信息计算方案,避免固定资产管理中的隐患. 怎么管理设备和资产已成为了其管理的要点之一.依据固定的资产管理系统,可 ...
- 如何搭建人事信息化管理平台?
搭建有效的人事信息化管理平台需要花费时间,分多步骤实施.希望下面一些思路对您搭建平台有些许启发: 1. 梳理评估公司现有人力资源流程 首先,找出需要改进的地方.与HR部门内和部门外的各个利益相关者沟通 ...
- 8Manage SRM:了解采购中的合同管理
采购合同管理是管理与采购有关的合同的过程,作为与客户.供应商.甚至合作伙伴建立工作关系的法律文件的一部分.它包括谈判合同的条款和条件,还包括对遵守条款和条件以及记录和同意双方的任何变更的证明. 采 ...
最新文章
- pytorch 调用forward 的具体流程
- 计算机应用基础期末考试要点,计算机应用基础期末复习要点.doc
- rowspan不显示 wpf_wpf的datagrid绑定datatable列不自动更新解决方案
- bugku 管理员系统 后台代码_不会吧,这也行?iOS后台锁屏监听摇一摇
- 美国OCC代理署长Brian Brooks将于今日离任,由首席运营官接任
- 获取xcode下载地址的页面
- 8,EasyNetQ-多态发布和订阅
- IP代理软件哪个比较好
- 电脑故障维修判断指导大全
- 【转】当我们说“区块链是无需信任的”,我们的意思是
- 将图片转换成caffe的数据格式
- 图片转文字怎么转?这些方法我只告诉你
- ZZULIOJ:1008美元和人民币
- vi/vim中复制粘贴命令
- 基金 、 社保和QFII等机构的重仓股排名评测
- 仓库管理怎么做?这5大仓库管理软件能帮到你
- Python常用模块(一)pandas
- 中国特殊配方奶粉市场销售渠道及营销策略研究报告(2022-2027年)
- 键盘输入字符串 数字转换为 * 英文字母大写转小写 小写转大写
- 关键词 | 2022年度电商风险:薅羊毛、恶意爬虫
热门文章
- .net C# 关于使用npoi导入excel 所遇到的问题PublicKeyToken=0df73ec7942b34e1
- .NET开发必备网址
- 【备忘】指定为同名callback的jsonp IE下script loaded状态标记
- linux无锁化编程--__sync_fetch_and_add系列原子操作函数
- macbook和 windows共享文件
- template might not exist or might not be accessible by any of the configured Template Resolvers
- python 入门笔记
- POJ 2186 Tarjan
- 苹果 开发者账号区别
- 从零开始学习Sencha Touch MVC应用之八