信息系統安全在當今的企業中極為重要,以抑制對信息資產的無數網絡危害。儘管信息安全主管安裝了很好的分歧,董事會以及組織中的老年人管理部門仍然可能會拖延時間,以授權信息安全支出計劃,簽證通過各種其他事情,如廣告和營銷以及促銷,他們認為具有更高的投資回報率 (ROI)。在此之後,作為首席信息保護官 (CISO)/IT/詳細信息解決方案經理,您如何鼓勵監控或需求的董事會購買信息安全?
我曾經與一家大型區域性銀行的 IT 主管討論過,他分享了他在獲得批准的詳細安全預算方面的經驗。IT 部門正在與市場營銷部門爭奪一些資金,這些資金實際上是從年度預算計劃的財政儲蓄中獲得的。” 你看,如果我們投資這個營銷活動,目標市場部門不僅會幫助我們創造和超越數字,而且近似值也表明我們可以將我們的貸款組合增加一倍以上。” 廣告人士說。另一方面,IT 的不同意見是“通過積極購買更耐用的入侵防禦系統 (IPS),他們將減少安全事件”。Monitoring 決定將額外資金分配給 Advertising。之後,IT 人員問自己,他們實際上做錯了什麼,廣告人做對了!那麼,您如何確保您的詳細信息安全任務的支出計劃獲得批准?
管理部門重視不作為的後果至關重要,因為對於保護企業而言,如果發生違規行為,不僅會由於對品牌名稱的信心下降而使組織和消費者失去信譽,而且違規可能會導致收入損失,甚至會導致對組織提起訴訟,在這種情況下,出色的廣告和營銷活動可能會停止恢復您的組織。
任何組織的總目標都是為投資者或利益相關者創造/包含價值。你能量化你想要獲得的對策的好處嗎?您使用什麼標誌來驗證對細節安全的金融投資?您的對策論點是否符合組織的總體目標,您如何證明您的活動將有助於公司實現其目標並增加股東/利益相關者的價值。例如,如果公司優先考慮客戶購買和客戶保留,那麼購買您建議的信息安全選項如何幫助實現該目標?
大量信息保護任務可能是由外部準則或合規要求驅動的,或者可能是對外部審計員最近詢問的回應,或者可能是當前系統違規的結果。例如,經濟監管機構可能會要求所有銀行都應用 IT 易感性分析工具。因此,公司必須不惜一切代價遵守,否則將面臨處罰。雖然對這些監管要求做出反應是必不可少的,但僅僅連接孔和“滅火”技術並不能持久。僅應用程序修改可能會導致在孤島中工作、對比信息和術語、不同的技術以及缺乏與業務戰略的聯繫的環境。
對某些管理要求的不協調反應可能導致執行與組織的業務方法不一致的選項。因此,為了克服這個問題並獲得資金批准和行政支持,您的分歧和組織實例應該證明您打算採購的服務如何適應更大的圖景,以及這如何與確保財產安全的總體目標保持一致。公司。
您肯定需要與管理部門溝通,了解您想要獲得的服務的基本服務價值。您將從揭示/確定現有費用、影響以及不做任何事情的影響開始;如果您想採購的對策沒有到位。您可以將這些分類為:
直接價格——公司因服務未到位而獲得CISM 認證的成本。
間接費用——可能浪費的時間、主動性以及各種其他組織資源的數量。機會費用——如果您提出的安全和保障補救措施或解決方案沒有到位和準確,則因失去服務機會而產生的價格這將如何影響該組織的在線聲譽和商譽。
組織因違規而面臨哪些監管罰款?
公司干擾和生產力損失的影響是什麼?
公司將如何受到影響,她的品牌或聲譽可能導致重大財務損失?
經營風險監控不力會造成哪些損失?
我們因欺詐而面臨哪些損失:外部還是內部?
對參與減輕危險的人員投資的價格是多少,這些危險肯定會通過部署對策而降低?
數據丟失,這是一個優秀的組織財產,究竟將如何影響我們的運營,以及從這樣的災難中挽回的真正代價是什麼?
由於我們的不作為而導致的任何違規行為的法律含義是什麼?
根據 Ponemon Institute 和 Tripwire, Inc. 在 2011 年進行的一項研究,發現組織干擾和績效損失是違規行為造成的最嚴重後果之一。平均而言,不合規價格是 46 家經歷過的組織合規費用的 2.65 倍。除兩種情況外,不合規價格高於合規價格。[2] 表明,投資是信息保護,以保護細節屬性並符合治理需求,與不採取任何對策相比,確實更實惠,也減少了開支。
一個好的支出計劃提案需要得到公司其他各種業務設備的幫助。例如,我確實向之前提到的 IT 經理建議過,他很可能應該與 Advertising 討論並向他們澄清一個有信譽且安全可靠的網絡究竟如何使他們通過自我營銷變得不那麼複雜。信心,很可能 IT 不會對預算計劃進行競爭。我不相信廣告和營銷人員會喜歡去面對客戶,因為可能存在服務不穩定、系統違規以及停機等問題。因此,您應該確保您得到所有其他服務系統的幫助,並向他們解釋推薦的補救措施如何使他們的生活更輕鬆。
與管理層/董事會建立融洽的關係,即使是未來的預算授權,您也需要發布並向管理層報告您最近採購的各種網絡異常情況,例如,在一周內發現的入侵檢測系統,現在現場循環時間以及系統實際運行時沒有受到干擾的時間。減少停機時間將表明您已完成工作。這種技術將向管理層揭示,例如,基於保護服務連接和信息資產所需的保單價值,保險覆蓋價格間接降低。
如果要提供增值服務,獲得您的信息安全和安全項目預算批准應該不是那麼困難。您需要問自己的主要問題是您建議的服務究竟如何提高利潤?行政/董事會要求的是保證您推薦的補救措施將創造實際的長期公司價值,並且與公司的整體目標相一致。