信息安全:不只是成本 更是竞争优势
CIO经常被要求证明技术投资是物有所值的。但是,美国某家公司的CIO最近仍被这个问题以及提问者的身份弄得猝不及防。“市场总监问我是否可以通过安全和隐私方面的措施构建公司独有的竞争力。”该CIO回忆说。这位CIO要求不透露自己的名字。
这位CIO刚刚读过一个安全方面投资的回报率分析案例,对此他持保留态度。这个案例分析来自于某电子商务咨询公司对US Cutter公司的调查。经过分析,该咨询公司认为,US Cutter通过在其电子商务站点上展示赛门铁克认证标章(Norton Secured Seal),使得总体销售提升了11%,而付费搜索的销售则大幅提升了52%.
另一位CIO自己承担了案例总结的任务 -- 假设其所在公司受到攻击时,如果没有相应的安全防护措施,会给公司业务、声誉以及竞争力带来的伤害。
“我用自己的标题和图片作为演示的开头,包括华盛顿邮报的头条‘FCC Hacked!'.”Robert Naylor说。Naylor曾任联邦通讯委员会(Federal Communications Commission,FCC)首席信息官,现在以网络安全专家的身份服务于美国的情报系统。
“随后,我问FCC的主席以及屋子里的其他人,是否要听任这种事情的发生。”Naylor说。当时,iPhone 5已经研制完成,FCC比任何人更早的收到了设计图。如果泄密,将给消费者与公司带来了严重的后果。“但是,如果是政府部门被入侵,整个国家的经济就可能受到伤害。比如,某外国政府获得了相关的信息,就可能提早开始进行与iPhone相关的制造和生产。”Naylor解释到。
随着入侵事件的不断发生以及媒体头条的渲染,很多企业开始认识到信息安全本质上就是一种竞争优势。但是,CIO们也同时发现,要证明这一点并非易事。能够有力证明信息安全和商业价值之间联系的案例太少。那些确实以安全措施构建竞争优势的企业不愿意分享自身的经验。而且,每个公司面对的安全威胁以及防护措施都是不同的。CIO和安全专家们虽然能够争取到更多的信息安全投资,但是整个过程都有一个共同点:仅仅是准备在事故发生时被动地证明投资的正确性,而不是主动地阐明企业业务会遭受的损失。
之前在一家制药公司任职时,Naylor就经历了知识产权被盗的事情。一家国外的竞争对手盗取了某种新药(已经通过了美国食品药品管理局(FDA)的审查)的研制公式。“由于已经获得了FDA的批准,竞争对手推出的产品能够顺利上市,我们在这种药上面的销售额也从预期的60亿美元降到30亿美元。与此同时,我们还得为保护专利权而打诉讼战。”Naylor回忆说。
这次泄密事件并非通过网络。“随着线上数据呈指数性的增长,相应的安全投入却没有跟上。”Naylor表示。更糟糕的是,由于网络安全威胁的多样化,CIO们不知道该将有限的资金投入到哪个方面 – SQL注入攻击、网络钓鱼(pishing)、APT攻击、僵尸网络(botnets)等等。
Naylor推荐其客户采用一种新技术,可以自动化地隔离威胁、发送警报给相关人员并对威胁进行分析。这种技术由一家创业公司(Naylor不愿提供其名字)开发,通过与事先建立的网络模式的比对,分析入侵的模式和行为并隔离之。
安全措施给银行带来收入
上世纪90年代末,Sandy Lambert是花旗银行的首席信息安全官(chief information security officer,CISO)。当时,信息安全的工作被视为纯成本的投入。但是,同Naylor一样,Lambert通过各种机会来证明安全工作的商业价值。在同一家潜在客户的会议中,她展示了花旗银行信息安全的整体规划,强调了银行各层级强烈的安全意识,以及先进的加密和数字签名技术。
“当时参与投标的各家银行都有安全举措方面的说明,但是客户事后告诉我,我们的安全规划是最终赢得合同的主要因素之一 -- 信息安全直接给银行带来了收入。”Lambert表示。她现在是安全咨询公司Lambert & Associates LLC的董事长和ISSA(信息安全系统协会)的创始人。
提升全行业网络安全和保持企业竞争优势之间的悖论
当David Cullinane在2012年离任ebay首席信息安全官时,其主导的信息安全规划每花一美元,就能带来价值10美元的风险消减。如今,越来越多的安全专家愿意分享如何通过信息安全构筑企业竞争优势,Cullinane就是其中一员。
“信息安全应该并且能够成为企业的竞争优势,但是,并非所有事情都是正面的。”Cullinane说:“那些基于信息安全在竞争中获胜的企业并不愿意公开其经验。他们会说’嗯,我知道该做什么事情,这是我的核心竞争力。‘这种态度使得其他公司依旧暴露在威胁之下,我们有责任达成信息的共享和交流。”Cullinane现在是咨询公司SecurityStarfish的创始人和首席执行官,该公司提供安全威胁的分析报告,并基于客户的(很多在《财富》榜上有名)数据进行技术开发,帮助客户降低风险避免损失。
为了推动eBay在安全方面持续进行投入,Cullinane并没有采用什么高深复杂的方法。首先,通过视觉效果极强的PPT演示,让安全规划和商业目标及核心业务紧密结合起来。他用9个方块代表9种安全风险,每种风险赋予一个数字,代表了其对于业务的价值。同时,还包括每种风险发生的概率以及将会给企业带来的损失。“通过图表直观的展示,人们可以看到潜在的损失是多么严重,从而也就知道该在什么地方进行投入了。”Cullinane说。
相对于Niemen Marcus(美国精品百货店)之类的企业,eBay的业务模式决定了其面临着更多网络安全隐患。对此,Cullinane倾向于通过云计算方案来应对:“比如,亚马逊的AWS就通过了PCI DSS认证(第三方支付行业数据安全标准)。因此,将客户数据放到上面,从安全角度说和之前并无差别。”