制定恰當(dāng)?shù)男畔踩?guī)劃

事實(shí)上，絕對(duì)的安全是做不到的，也是不需要的。企業(yè)需要做的是，通過恰當(dāng)?shù)陌踩刂?，尋求將風(fēng)險(xiǎn)減少到可接受的水平。而在這一過程中，將精力放在制定有效的戰(zhàn)略規(guī)劃，可以更好地幫助企業(yè)走出危機(jī)四伏的困境。

目前，大多數(shù)首席安全官（CSO）可能并不將精力放于擬訂戰(zhàn)略規(guī)劃上，只是有此要求而已。對(duì)此喬治亞大學(xué)的首席信息安全官（CISO）Stan Gatewood來說，這種選擇有著成堆的理由。

“您的生活中會(huì)伴隨著經(jīng)濟(jì)活動(dòng)，您也會(huì)從事社會(huì)活動(dòng)。”Gatewood說，“這些您都可以找到相關(guān)技術(shù)幫助，有相關(guān)法律法規(guī)遵循，但信息安全的商業(yè)戰(zhàn)略規(guī)劃卻無法從專業(yè)書藉或研究資料中卻找到有幫助的適用法則?！?

盡管如此，Gatewood仍表示戰(zhàn)略規(guī)劃是需要的?！叭绻鷽]有具體規(guī)劃，你又如何能知道你所做的一切是否正確？”他問道，“您只能摸著石頭過河，被動(dòng)地對(duì)遇到的每件小事做出反應(yīng)?！?

畢竟，這是企業(yè)和信息安全團(tuán)體多年以來的運(yùn)作方式：遇到問題，處理問題。由于信息安全部門是這樣的被動(dòng)，只有遇到事情才采取行動(dòng)，使得他們對(duì)未來毫無把握。

但現(xiàn)在這一切都在漸漸發(fā)生著改變，因?yàn)槭紫踩俸褪紫畔踩賯冮_始認(rèn)識(shí)到制定戰(zhàn)略規(guī)劃來作為行動(dòng)指導(dǎo)的價(jià)值所在。就核心思想而言，戰(zhàn)略規(guī)劃不過是按照商業(yè)目的設(shè)定目標(biāo)，然后不只規(guī)劃未來幾個(gè)月而是規(guī)劃未來幾年內(nèi)如何達(dá)成這些目標(biāo)的一個(gè)過程。

當(dāng)然，許多CSO都做過計(jì)劃，但多數(shù)還是與財(cái)政預(yù)算密切相連的年初戰(zhàn)術(shù)計(jì)劃。CSO們已知如何創(chuàng)建和執(zhí)行一個(gè)戰(zhàn)術(shù)計(jì)劃，他們聲稱戰(zhàn)略規(guī)劃可幫助他們合理利用資源、獲得安全主動(dòng)性支持和與商業(yè)目標(biāo)對(duì)齊，不用再在危機(jī)到來時(shí)手忙腳亂采取應(yīng)急措施。

“這對(duì)CSO來說是真正的好事?！逼杖A永道咨詢服務(wù)部安全工程師James Quinnild表示，“首席安全官手上管理著更多的資金，他們對(duì)企業(yè)未來應(yīng)更有遠(yuǎn)見，也有更多的人總是問首席安全官們，你們?nèi)绾喂ぷ?？你們具體做了什么？你們是如何安排所做工作的優(yōu)先順序？”一個(gè)思慮周密戰(zhàn)略規(guī)劃能幫助很好地回答這些問題。

特別是在瞬息萬變的信息安全領(lǐng)域，規(guī)劃未來可能是飽含危險(xiǎn)的：技術(shù)時(shí)刻發(fā)生變化，新威脅也不斷產(chǎn)生。盡管存在這些問題，但如果你想讓企業(yè)走出危機(jī)模式（Crisis Mode），適當(dāng)戰(zhàn)略規(guī)劃過程是至關(guān)重要的。以下戰(zhàn)略規(guī)劃開始的五個(gè)步驟。正如你所看到的，這不是什么高深理論，只是一些對(duì)信息安全的戰(zhàn)略規(guī)劃很適用的淺淺道理。

擬訂大體規(guī)劃

Gatewood兩年前開始在位于美雅典城、擁有33000多名學(xué)生的喬治亞大學(xué)工作，當(dāng)時(shí)他所做的第一件事就是讀完他所能找到的每一份大學(xué)商業(yè)規(guī)劃。其中，最重要是發(fā)現(xiàn)了大學(xué)校長寫的一份五年規(guī)劃。這種大體方案可幫助首席信息官擺脫戰(zhàn)術(shù)模式（Tactical Mode）。Gatewood 表示：“我從中看出我們大學(xué)的具體發(fā)展方向，從而在這基礎(chǔ)上著手創(chuàng)建了安全戰(zhàn)略目標(biāo)?！?

例如，在該校校長所寫規(guī)劃中以吸引一流教授為優(yōu)先。Gatewood確定他的部門也以這一目標(biāo)為優(yōu)先?！叭绻阋巡扇⌒袆?dòng)，且表示‘需5萬美元來建立一個(gè)防火墻來保護(hù)研究群體’，光這是不夠的?！盙atewood表示，他將完全依據(jù)研究群將滿足大學(xué)的已成形戰(zhàn)略和目標(biāo)的方式來定位他的目標(biāo)?！拔蚁胝f一下，如果一個(gè)教授對(duì)將使用的技術(shù)無法信任，你如何能吸引他（她）來做高級(jí)研究呢？”有時(shí)一點(diǎn)語義改變結(jié)果就可能完全不同。

戰(zhàn)略規(guī)劃

基于商業(yè)目的設(shè)定目標(biāo)，且不是規(guī)劃未來幾個(gè)月，而是規(guī)劃未來幾年內(nèi)如何達(dá)成這些目標(biāo)。

然而，僅僅只是閱讀商業(yè)戰(zhàn)略還是不夠的。CSO的戰(zhàn)略規(guī)劃過程中需要商務(wù)人員加入，來確保安全防護(hù)往正確方向發(fā)展，也幫助你的計(jì)劃獲取相關(guān)支持?！捌髽I(yè)的預(yù)算有限，企業(yè)什么能做或不能做都受到一定限制。”ConocoPhillips公司前任安全主管Bobby Gillham表示，“你必須使他們相信一個(gè)安全的強(qiáng)化措施是真正能使企業(yè)獲得最好收益，這樣他們才會(huì)同意為此買單?！?

“你對(duì)安全的改善不能只在本期預(yù)算過程考慮，考慮時(shí)間起碼包括未來三年左右?！?Gillham表示，“這樣你可能得到企業(yè)領(lǐng)導(dǎo)對(duì)某一特定項(xiàng)目的長期支持?！比绻骋惶囟ú块T在下一個(gè)財(cái)年的預(yù)算中并沒有包括你的項(xiàng)目，你可以在他們的來年的規(guī)劃中獲得合適的預(yù)算。你甚至可以尋找一個(gè)方式把開支分?jǐn)偟蕉鄠€(gè)年份中去。規(guī)劃的長遠(yuǎn)考慮可以幫助你達(dá)成不能靠一個(gè)年度的預(yù)算就能實(shí)現(xiàn)的目標(biāo)。

不忘風(fēng)險(xiǎn)評(píng)估

在你了解商業(yè)優(yōu)先目標(biāo)后，要做的第二步就是估算出可能遇到的安全風(fēng)險(xiǎn)，從而幫助企業(yè)不斷達(dá)到目標(biāo)。這就需要做一份風(fēng)險(xiǎn)評(píng)估。在雅芳公司（Avon），其全球安全副總裁Robert Littlejohn在帶領(lǐng)部門高層主管召開每年為期兩天的戰(zhàn)略會(huì)議前，整整花了四個(gè)月來評(píng)估該過程。

評(píng)估從六月份開始，區(qū)域安全領(lǐng)導(dǎo)會(huì)發(fā)放表格給公司在全球的業(yè)務(wù)領(lǐng)導(dǎo)，用于評(píng)估他們所面臨風(fēng)險(xiǎn)，從自然災(zāi)害到政治社會(huì)動(dòng)蕩狀況都包括在內(nèi)。要求業(yè)務(wù)領(lǐng)導(dǎo)估計(jì)每個(gè)事件發(fā)生的可能性以及對(duì)公司的潛在影響。這項(xiàng)活動(dòng)范圍遍及145個(gè)國家。到八月份，風(fēng)險(xiǎn)評(píng)估繼續(xù)做一份客戶調(diào)查，看看業(yè)務(wù)領(lǐng)導(dǎo)是如何看待安全問題及采取適當(dāng)處理企業(yè)風(fēng)險(xiǎn)：已采取措施？未采取措施？他們最關(guān)心的是什么？

接著，區(qū)域安全主管會(huì)仔細(xì)檢查這些風(fēng)險(xiǎn)評(píng)估，驗(yàn)證它們的正確性，如需要?jiǎng)t做出適當(dāng)?shù)母膭?dòng)和添加。例如，據(jù)Littlejohn回憶，雅芳公司去年在摩爾多瓦共和國一個(gè)業(yè)務(wù)領(lǐng)導(dǎo)指出一個(gè)高風(fēng)險(xiǎn)，說是這個(gè)國家的政府將會(huì)倒臺(tái)。為此，公司歐洲區(qū)域安全主管特地去了趟摩爾多瓦的美國大使館了解情況，和大使館的區(qū)域安全官員和政治官員進(jìn)行了坐談，最后確定這個(gè)國家情況比那位業(yè)務(wù)領(lǐng)導(dǎo)指出的要穩(wěn)定。

以上所有情況表明，在規(guī)劃過程中，業(yè)務(wù)領(lǐng)導(dǎo)加入是不可少的，但有時(shí)也需有一位安全專家來確認(rèn)風(fēng)險(xiǎn)評(píng)估的正確性。

這項(xiàng)專業(yè)技術(shù)順便還可能在安全部門的戰(zhàn)略規(guī)劃以外派上用場。它使得業(yè)務(wù)范圍戰(zhàn)略規(guī)劃過程中首席信息官價(jià)值無可估計(jì)。A.T. Kearney咨詢公司副總裁兼全球商業(yè)策略咨詢委員會(huì)顧問Paul Laudicina（《World Out of Balance》一書的作者）。他相信，一個(gè)企業(yè)想要成功占領(lǐng)全球市場就必須更了解如何管理各種各樣的風(fēng)險(xiǎn)，從軍事政變到傳染病到計(jì)算機(jī)病毒都需了解。一個(gè)首席安全官在這個(gè)過程就尤顯重要。

Laudicina 表示：“無論這些風(fēng)險(xiǎn)的管理原先是由CSO還是其他人負(fù)責(zé)，它將成為一個(gè)首席安全官是否有能力承擔(dān)責(zé)任的一項(xiàng)能力表現(xiàn)?！?

確立可衡量的目標(biāo)

在做好上述基本工作后，也就到了開始將商業(yè)風(fēng)險(xiǎn)與商業(yè)目標(biāo)聯(lián)系起來的時(shí)候。CSO必須有自己的策略。

策略的最上層的是CSO自己的目標(biāo)。這些目標(biāo)可以很簡單，就如你們所想要的那樣。在雅芳公司，Littlejohn最直接任務(wù)是：保護(hù)雅芳的人員、產(chǎn)品、利潤、財(cái)產(chǎn)、過程和名譽(yù)。在美國電話電報(bào)公司（AT&T），它的首席信息安全官Ed Amoroso的目標(biāo)也同樣簡單：改善安全、減少成本和利用安全防護(hù)建立競爭優(yōu)勢。

同時(shí)，還需要策略簡化在未來幾年內(nèi)實(shí)現(xiàn)這些任務(wù)的方式。隨著計(jì)劃進(jìn)展，它的針對(duì)性逐漸減少。CSO也可以選擇與董事會(huì)成員分享一份更少針對(duì)性的計(jì)劃，而在安全部門內(nèi)運(yùn)行一個(gè)更詳細(xì)計(jì)劃。竅門就在于除考慮明年采用的戰(zhàn)術(shù)以外，CSO還要制定出未來幾年內(nèi)所要實(shí)現(xiàn)的目標(biāo)。

例如，一個(gè)戰(zhàn)術(shù)計(jì)劃可能包括在不遠(yuǎn)的將來安全部門將怎樣處理軟件補(bǔ)丁。但戰(zhàn)略的補(bǔ)丁管理則是大為不同的，它會(huì)根據(jù)首席信息安全官預(yù)期需加強(qiáng)補(bǔ)丁管理時(shí)間長短而發(fā)生變化。

“如果我們充分考慮后認(rèn)為，軟件行業(yè)未來兩三個(gè)月內(nèi)不會(huì)出現(xiàn)更多Bug在他們軟件中，那么我們將不會(huì)決定投資建設(shè)一個(gè)補(bǔ)丁基礎(chǔ)設(shè)施?！盇moroso表示，“我的本能告訴我在接下來的兩個(gè)月內(nèi)，你不會(huì)看發(fā)現(xiàn)這情況會(huì)變得更好。但問題是在于什么時(shí)候會(huì)呢？”如果首席信息安全官預(yù)期他的團(tuán)隊(duì)將不得不在接下來的五年內(nèi)安裝更多補(bǔ)丁，他可能決定投資來優(yōu)化這些補(bǔ)丁安裝的方式顯得很有理財(cái)意義。但如果他認(rèn)為補(bǔ)丁只是一個(gè)短期解決方案，最終供應(yīng)商會(huì)創(chuàng)造出更好產(chǎn)品，他可能制定一個(gè)戰(zhàn)略決定來保持不斷地手工安裝補(bǔ)丁。

不過無論你如何設(shè)計(jì)，戰(zhàn)略工作的擬定都必須掌握兩個(gè)要點(diǎn)。一是你必須確保每筆資金最終都花在你的目標(biāo)上（與商業(yè)目標(biāo)密切相關(guān)）。Amorosos表示：“這完全決定于你的財(cái)政預(yù)算以及對(duì)某一年將實(shí)施的計(jì)劃的排列和優(yōu)先順序?！?

另一個(gè)要點(diǎn)是要找到可以衡量達(dá)成這些目標(biāo)到何程度的指標(biāo)。例如，Littlejohn已開始給在其評(píng)估報(bào)告上每件事分配一個(gè)數(shù)值：1（沒有實(shí)現(xiàn)）、2（部分實(shí)現(xiàn)）、3（完全實(shí)現(xiàn)）。年復(fù)一年地，這使他一目了然地知道他達(dá)成他的目標(biāo)到何程度。他擁有自己戰(zhàn)略，并以此來論證它的進(jìn)展情況。

“業(yè)務(wù)領(lǐng)導(dǎo)不像過去那樣輕易一驚一咋了。”自從1997年開始一直在信息安全部門工作的喬治亞大學(xué)首席信息官Gatewood表示，“如果你一露面就只是大叫‘天要塌下來了’，那么他們會(huì)告訴你‘我們?nèi)ツ?、上周早聽說了’。他們只相信鐵的事實(shí)和精確數(shù)字，他們想要的是可衡量的、可行的和可復(fù)驗(yàn)的信息。”

沒有確定的時(shí)間框架

說起年復(fù)一年的目標(biāo)，人們總是頭疼于一個(gè)戰(zhàn)略計(jì)劃應(yīng)考慮多遠(yuǎn)。我們在這兒最后一次告訴你答案：視具體情況而定。當(dāng)然，傳統(tǒng)B類學(xué)校想法是規(guī)劃不能算是真正的“戰(zhàn)略”，除非已經(jīng)過一年多時(shí)間觀察。但事實(shí)上至少對(duì)于首席信息安全官來說，明確理念最大局限是兩年時(shí)間，特別是在企業(yè)走出反應(yīng)模式（Reaction Mode）的初始階段。

北卡羅萊納州的首席信息安全官Ann Garrett說：“所有你在商業(yè)學(xué)校聽到的所謂五年規(guī)劃都是垃圾?！睂?duì)此，我們只能理解為她的意思是，這種五年計(jì)劃并不適用信息安全領(lǐng)域。

“你必須有高級(jí)目標(biāo)，但你不能過于詳述超過14個(gè)月外的計(jì)劃?！碑厴I(yè)于北卡羅萊納州洛里市梅瑞迪斯學(xué)院的工商管理碩士（MBA）Garrett表示?！凹夹g(shù)在不斷發(fā)生變化，要預(yù)測事情進(jìn)展情況是不容易的?！笨赡墚a(chǎn)生新威脅，法規(guī)可能會(huì)改變你的法律需求，可能獲得關(guān)鍵供應(yīng)商支持，種種情況都可能隨時(shí)改變，你不可能計(jì)劃所有事情。至于采取的處理方式，Garrett是盡可能多擬訂接下來兩年的計(jì)劃。由于北卡羅萊納州進(jìn)行的是兩年制預(yù)算過程，因此她在這上面并沒太多選擇。她兩年規(guī)劃包含特定目標(biāo)和達(dá)成目標(biāo)的方式。此外她還牢記其2~4年的時(shí)間限制，以及時(shí)刻不忘最高目標(biāo)。至于其他的，她感覺只是浪費(fèi)時(shí)間。

總部位于倫敦的英美煙草公司集團(tuán)安全主管David Burrill所持的則是另一種觀點(diǎn)。Burril一直在為公司做一個(gè)企業(yè)安全10年規(guī)劃。盡管看起來似乎有點(diǎn)自命不凡——一個(gè)計(jì)劃要管十年，但Burrill堅(jiān)持表示他現(xiàn)在的設(shè)計(jì)與早在13年前他剛進(jìn)公司那會(huì)在腦中所構(gòu)思很有相通之處。

“以前，許多前瞻性想法曾只是我腦中構(gòu)思?！盉urrill解釋，“我們發(fā)展安全功能同時(shí)一切都在發(fā)展，只依靠單打獨(dú)斗發(fā)展明顯已是不適當(dāng)了?，F(xiàn)在我已有了更多其他想法，我周圍有高素質(zhì)人才，取代一個(gè)人想法，我們應(yīng)集思廣益。我們現(xiàn)在必須是一組人共同討論，然后最后決定未來我們的工作范圍。”

實(shí)施要靈活

事實(shí)上，如何推進(jìn)計(jì)劃拓展是重要的，但如何靈活實(shí)施計(jì)劃則更為重要。

比如釣魚攻擊、間諜軟件，還有最新出現(xiàn)的Google hacking（攻擊者使用流行搜索引擎來做企業(yè)漏洞分析），都沒出現(xiàn)在三年前所做的規(guī)劃中，甚至在現(xiàn)在剛做計(jì)劃中也有未提及的。而一個(gè)好的規(guī)劃將幫助你更輕松地處理這些新威脅，讓你找到一個(gè)組織的方式去處理他們，因?yàn)槟銓⒛芸闯鏊麄內(nèi)绾芜m應(yīng)現(xiàn)有風(fēng)險(xiǎn)和優(yōu)先級(jí)。好的規(guī)劃甚至可以預(yù)先阻止新威脅對(duì)你的企業(yè)造成影響。

“讓我們假設(shè)你擁有的一家企業(yè)是使用密碼來遠(yuǎn)程訪問郵件?！泵离娫掚妶?bào)公司的Amoroso表示，“我不能告訴你明天或是下周將會(huì)被黑客侵入。但我能告訴你如果采用雙重認(rèn)證機(jī)制你將能解決更多因改變而卡死的問題。退一步來說，這是一個(gè)明智的決定，即使一個(gè)蠕蟲發(fā)動(dòng)密碼從現(xiàn)在起的一年內(nèi)不斷地發(fā)起密碼猜測攻擊，也不會(huì)對(duì)于我們的用戶產(chǎn)生任何影響。”

當(dāng)然，如果你希望做到面面俱到時(shí)，萬事開頭難，計(jì)劃剛開始的第一步往往總是不容易的。但做好第一步接下來戰(zhàn)略規(guī)劃過程將更容易。一旦你開始進(jìn)行，計(jì)劃必須得到不斷的更新，而不是只是按一種套路走。“這只是工作的一部分?！泵佬胖Z保險(xiǎn)公司（Cigna）首席信息安全官兼高級(jí)副總裁Craig Shumard表示。他說，他的整個(gè)部門都在組織收集此類情報(bào)為戰(zhàn)略制定服務(wù)，有些負(fù)責(zé)風(fēng)險(xiǎn)評(píng)估，有些負(fù)責(zé)創(chuàng)建記分卡，其余的也各有各的工作，井井有條并不斷激勵(lì)著他。相比這些行為他甚至不能確定有多少時(shí)間花在擬訂戰(zhàn)略上。

只要你越深入一個(gè)戰(zhàn)略模式，你就會(huì)花越多時(shí)間在最重要的部分——商業(yè)價(jià)值的創(chuàng)造上?！翱偸菚?huì)有一些回應(yīng)?！逼杖A永道的Quinnild表示，“只要更好地前期規(guī)劃，CSO們就不用總是忙著解決出現(xiàn)的問題，而可以釋放出更多的時(shí)間來幫助企業(yè)來做些想做的事。我們的許多客戶表示‘大部分時(shí)間都用在碰到問題后恢復(fù)上’，這多少就是由于沒有一個(gè)具體戰(zhàn)略。我的回答是不必解決這個(gè)問題不是更好嗎？”

當(dāng)然還有另一點(diǎn)，這對(duì)安全部門來說也是個(gè)贏取商業(yè)信譽(yù)的機(jī)會(huì)?！皼]有戰(zhàn)略規(guī)劃，我們只能被動(dòng)地解決一個(gè)又一個(gè)問題、一次又一次危機(jī)?！庇⒚罒煵莨镜腂urrill表示，“如果做了戰(zhàn)略規(guī)劃，那么安全功能將一直保持其他功能所缺乏的真正意義。安全防護(hù)現(xiàn)在幾乎還只處于成長階段，將慢慢成長成熟，達(dá)到應(yīng)有的可信度?！?(ccw)