制定恰当的信息安全规划

事实上，绝对的安全是做不到的，也是不需要的。企业需要做的是，通过恰当的安全控制，寻求将风险减少到可接受的水平。而在这一过程中，将精力放在制定有效的战略规划，可以更好地帮助企业走出危机四伏的困境。

目前，大多数首席安全官（CSO）可能并不将精力放于拟订战略规划上，只是有此要求而已。对此乔治亚大学的首席信息安全官（CISO）Stan Gatewood来说，这种选择有着成堆的理由。

“您的生活中会伴随着经济活动，您也会从事社会活动。”Gatewood说，“这些您都可以找到相关技术帮助，有相关法律法规遵循，但信息安全的商业战略规划却无法从专业书藉或研究资料中却找到有帮助的适用法则。”

尽管如此，Gatewood仍表示战略规划是需要的。“如果您没有具体规划，你又如何能知道你所做的一切是否正确？”他问道，“您只能摸着石头过河，被动地对遇到的每件小事做出反应。”

毕竟，这是企业和信息安全团体多年以来的运作方式：遇到问题，处理问题。由于信息安全部门是这样的被动，只有遇到事情才采取行动，使得他们对未来毫无把握。

但现在这一切都在渐渐发生着改变，因为首席安全官和首席信息安全官们开始认识到制定战略规划来作为行动指导的价值所在。就核心思想而言，战略规划不过是按照商业目的设定目标，然后不只规划未来几个月而是规划未来几年内如何达成这些目标的一个过程。

当然，许多CSO都做过计划，但多数还是与财政预算密切相连的年初战术计划。CSO们已知如何创建和执行一个战术计划，他们声称战略规划可帮助他们合理利用资源、获得安全主动性支持和与商业目标对齐，不用再在危机到来时手忙脚乱采取应急措施。

“这对CSO来说是真正的好事。”普华永道咨询服务部安全工程师James Quinnild表示，“首席安全官手上管理着更多的资金，他们对企业未来应更有远见，也有更多的人总是问首席安全官们，你们如何工作？你们具体做了什么？你们是如何安排所做工作的优先顺序？”一个思虑周密战略规划能帮助很好地回答这些问题。

特别是在瞬息万变的信息安全领域，规划未来可能是饱含危险的：技术时刻发生变化，新威胁也不断产生。尽管存在这些问题，但如果你想让企业走出危机模式（Crisis Mode），适当战略规划过程是至关重要的。以下战略规划开始的五个步骤。正如你所看到的，这不是什么高深理论，只是一些对信息安全的战略规划很适用的浅浅道理。

拟订大体规划

Gatewood两年前开始在位于美雅典城、拥有33000多名学生的乔治亚大学工作，当时他所做的第一件事就是读完他所能找到的每一份大学商业规划。其中，最重要是发现了大学校长写的一份五年规划。这种大体方案可帮助首席信息官摆脱战术模式（Tactical Mode）。Gatewood 表示：“我从中看出我们大学的具体发展方向，从而在这基础上着手创建了安全战略目标。”

例如，在该校校长所写规划中以吸引一流教授为优先。Gatewood确定他的部门也以这一目标为优先。“如果你已采取行动，且表示‘需5万美元来建立一个防火墙来保护研究群体’，光这是不够的。”Gatewood表示，他将完全依据研究群将满足大学的已成形战略和目标的方式来定位他的目标。“我想说一下，如果一个教授对将使用的技术无法信任，你如何能吸引他（她）来做高级研究呢？”有时一点语义改变结果就可能完全不同。

战略规划

基于商业目的设定目标，且不是规划未来几个月，而是规划未来几年内如何达成这些目标。

然而，仅仅只是阅读商业战略还是不够的。CSO的战略规划过程中需要商务人员加入，来确保安全防护往正确方向发展，也帮助你的计划获取相关支持。“企业的预算有限，企业什么能做或不能做都受到一定限制。”ConocoPhillips公司前任安全主管Bobby Gillham表示，“你必须使他们相信一个安全的强化措施是真正能使企业获得最好收益，这样他们才会同意为此买单。”

“你对安全的改善不能只在本期预算过程考虑，考虑时间起码包括未来三年左右。” Gillham表示，“这样你可能得到企业领导对某一特定项目的长期支持。”如果某一特定部门在下一个财年的预算中并没有包括你的项目，你可以在他们的来年的规划中获得合适的预算。你甚至可以寻找一个方式把开支分摊到多个年份中去。规划的长远考虑可以帮助你达成不能靠一个年度的预算就能实现的目标。

不忘风险评估

在你了解商业优先目标后，要做的第二步就是估算出可能遇到的安全风险，从而帮助企业不断达到目标。这就需要做一份风险评估。在雅芳公司（Avon），其全球安全副总裁Robert Littlejohn在带领部门高层主管召开每年为期两天的战略会议前，整整花了四个月来评估该过程。

评估从六月份开始，区域安全领导会发放表格给公司在全球的业务领导，用于评估他们所面临风险，从自然灾害到政治社会动荡状况都包括在内。要求业务领导估计每个事件发生的可能性以及对公司的潜在影响。这项活动范围遍及145个国家。到八月份，风险评估继续做一份客户调查，看看业务领导是如何看待安全问题及采取适当处理企业风险：已采取措施？未采取措施？他们最关心的是什么？

接着，区域安全主管会仔细检查这些风险评估，验证它们的正确性，如需要则做出适当的改动和添加。例如，据Littlejohn回忆，雅芳公司去年在摩尔多瓦共和国一个业务领导指出一个高风险，说是这个国家的政府将会倒台。为此，公司欧洲区域安全主管特地去了趟摩尔多瓦的美国大使馆了解情况，和大使馆的区域安全官员和政治官员进行了坐谈，最后确定这个国家情况比那位业务领导指出的要稳定。

以上所有情况表明，在规划过程中，业务领导加入是不可少的，但有时也需有一位安全专家来确认风险评估的正确性。

这项专业技术顺便还可能在安全部门的战略规划以外派上用场。它使得业务范围战略规划过程中首席信息官价值无可估计。A.T. Kearney咨询公司副总裁兼全球商业策略咨询委员会顾问Paul Laudicina（《World Out of Balance》一书的作者）。他相信，一个企业想要成功占领全球市场就必须更了解如何管理各种各样的风险，从军事政变到传染病到计算机病毒都需了解。一个首席安全官在这个过程就尤显重要。

Laudicina 表示：“无论这些风险的管理原先是由CSO还是其他人负责，它将成为一个首席安全官是否有能力承担责任的一项能力表现。”

确立可衡量的目标

在做好上述基本工作后，也就到了开始将商业风险与商业目标联系起来的时候。CSO必须有自己的策略。

策略的最上层的是CSO自己的目标。这些目标可以很简单，就如你们所想要的那样。在雅芳公司，Littlejohn最直接任务是：保护雅芳的人员、产品、利润、财产、过程和名誉。在美国电话电报公司（AT&T），它的首席信息安全官Ed Amoroso的目标也同样简单：改善安全、减少成本和利用安全防护建立竞争优势。

同时，还需要策略简化在未来几年内实现这些任务的方式。随着计划进展，它的针对性逐渐减少。CSO也可以选择与董事会成员分享一份更少针对性的计划，而在安全部门内运行一个更详细计划。窍门就在于除考虑明年采用的战术以外，CSO还要制定出未来几年内所要实现的目标。

例如，一个战术计划可能包括在不远的将来安全部门将怎样处理软件补丁。但战略的补丁管理则是大为不同的，它会根据首席信息安全官预期需加强补丁管理时间长短而发生变化。

“如果我们充分考虑后认为，软件行业未来两三个月内不会出现更多Bug在他们软件中，那么我们将不会决定投资建设一个补丁基础设施。”Amoroso表示，“我的本能告诉我在接下来的两个月内，你不会看发现这情况会变得更好。但问题是在于什么时候会呢？”如果首席信息安全官预期他的团队将不得不在接下来的五年内安装更多补丁，他可能决定投资来优化这些补丁安装的方式显得很有理财意义。但如果他认为补丁只是一个短期解决方案，最终供应商会创造出更好产品，他可能制定一个战略决定来保持不断地手工安装补丁。

不过无论你如何设计，战略工作的拟定都必须掌握两个要点。一是你必须确保每笔资金最终都花在你的目标上（与商业目标密切相关）。Amorosos表示：“这完全决定于你的财政预算以及对某一年将实施的计划的排列和优先顺序。”

另一个要点是要找到可以衡量达成这些目标到何程度的指标。例如，Littlejohn已开始给在其评估报告上每件事分配一个数值：1（没有实现）、2（部分实现）、3（完全实现）。年复一年地，这使他一目了然地知道他达成他的目标到何程度。他拥有自己战略，并以此来论证它的进展情况。

“业务领导不像过去那样轻易一惊一咋了。”自从1997年开始一直在信息安全部门工作的乔治亚大学首席信息官Gatewood表示，“如果你一露面就只是大叫‘天要塌下来了’，那么他们会告诉你‘我们去年、上周早听说了’。他们只相信铁的事实和精确数字，他们想要的是可衡量的、可行的和可复验的信息。”

没有确定的时间框架

说起年复一年的目标，人们总是头疼于一个战略计划应考虑多远。我们在这儿最后一次告诉你答案：视具体情况而定。当然，传统B类学校想法是规划不能算是真正的“战略”，除非已经过一年多时间观察。但事实上至少对于首席信息安全官来说，明确理念最大局限是两年时间，特别是在企业走出反应模式（Reaction Mode）的初始阶段。

北卡罗莱纳州的首席信息安全官Ann Garrett说：“所有你在商业学校听到的所谓五年规划都是垃圾。”对此，我们只能理解为她的意思是，这种五年计划并不适用信息安全领域。

“你必须有高级目标，但你不能过于详述超过14个月外的计划。”毕业于北卡罗莱纳州洛里市梅瑞迪斯学院的工商管理硕士（MBA）Garrett表示。“技术在不断发生变化，要预测事情进展情况是不容易的。”可能产生新威胁，法规可能会改变你的法律需求，可能获得关键供应商支持，种种情况都可能随时改变，你不可能计划所有事情。至于采取的处理方式，Garrett是尽可能多拟订接下来两年的计划。由于北卡罗莱纳州进行的是两年制预算过程，因此她在这上面并没太多选择。她两年规划包含特定目标和达成目标的方式。此外她还牢记其2~4年的时间限制，以及时刻不忘最高目标。至于其他的，她感觉只是浪费时间。

总部位于伦敦的英美烟草公司集团安全主管David Burrill所持的则是另一种观点。Burril一直在为公司做一个企业安全10年规划。尽管看起来似乎有点自命不凡——一个计划要管十年，但Burrill坚持表示他现在的设计与早在13年前他刚进公司那会在脑中所构思很有相通之处。

“以前，许多前瞻性想法曾只是我脑中构思。”Burrill解释，“我们发展安全功能同时一切都在发展，只依靠单打独斗发展明显已是不适当了。现在我已有了更多其他想法，我周围有高素质人才，取代一个人想法，我们应集思广益。我们现在必须是一组人共同讨论，然后最后决定未来我们的工作范围。”

实施要灵活

事实上，如何推进计划拓展是重要的，但如何灵活实施计划则更为重要。

比如钓鱼攻击、间谍软件，还有最新出现的Google hacking（攻击者使用流行搜索引擎来做企业漏洞分析），都没出现在三年前所做的规划中，甚至在现在刚做计划中也有未提及的。而一个好的规划将帮助你更轻松地处理这些新威胁，让你找到一个组织的方式去处理他们，因为你将能看出他们如何适应现有风险和优先级。好的规划甚至可以预先阻止新威胁对你的企业造成影响。

“让我们假设你拥有的一家企业是使用密码来远程访问邮件。”美电话电报公司的Amoroso表示，“我不能告诉你明天或是下周将会被黑客侵入。但我能告诉你如果采用双重认证机制你将能解决更多因改变而卡死的问题。退一步来说，这是一个明智的决定，即使一个蠕虫发动密码从现在起的一年内不断地发起密码猜测攻击，也不会对于我们的用户产生任何影响。”

当然，如果你希望做到面面俱到时，万事开头难，计划刚开始的第一步往往总是不容易的。但做好第一步接下来战略规划过程将更容易。一旦你开始进行，计划必须得到不断的更新，而不是只是按一种套路走。“这只是工作的一部分。”美信诺保险公司（Cigna）首席信息安全官兼高级副总裁Craig Shumard表示。他说，他的整个部门都在组织收集此类情报为战略制定服务，有些负责风险评估，有些负责创建记分卡，其余的也各有各的工作，井井有条并不断激励着他。相比这些行为他甚至不能确定有多少时间花在拟订战略上。

只要你越深入一个战略模式，你就会花越多时间在最重要的部分——商业价值的创造上。“总是会有一些回应。”普华永道的Quinnild表示，“只要更好地前期规划，CSO们就不用总是忙着解决出现的问题，而可以释放出更多的时间来帮助企业来做些想做的事。我们的许多客户表示‘大部分时间都用在碰到问题后恢复上’，这多少就是由于没有一个具体战略。我的回答是不必解决这个问题不是更好吗？”

当然还有另一点，这对安全部门来说也是个赢取商业信誉的机会。“没有战略规划，我们只能被动地解决一个又一个问题、一次又一次危机。”英美烟草公司的Burrill表示，“如果做了战略规划，那么安全功能将一直保持其他功能所缺乏的真正意义。安全防护现在几乎还只处于成长阶段，将慢慢成长成熟，达到应有的可信度。” (ccw)