CIO經(jīng)常被要求證明技術(shù)投資是物有所值的。但是，美國某家公司的CIO最近仍被這個問題以及提問者的身份弄得猝不及防。“市場總監(jiān)問我是否可以通過安全和隱私方面的措施構(gòu)建公司獨(dú)有的競爭力。”該CIO回憶說。這位CIO要求不透露自己的名字。

　　這位CIO剛剛讀過一個安全方面投資的回報(bào)率分析案例，對此他持保留態(tài)度。這個案例分析來自于某電子商務(wù)咨詢公司對US Cutter公司的調(diào)查。經(jīng)過分析，該咨詢公司認(rèn)為，US Cutter通過在其電子商務(wù)站點(diǎn)上展示賽門鐵克認(rèn)證標(biāo)章(Norton Secured Seal)，使得總體銷售提升了11%,而付費(fèi)搜索的銷售則大幅提升了52%.

　　另一位CIO自己承擔(dān)了案例總結(jié)的任務(wù) -- 假設(shè)其所在公司受到攻擊時(shí)，如果沒有相應(yīng)的安全防護(hù)措施，會給公司業(yè)務(wù)、聲譽(yù)以及競爭力帶來的傷害。

　　“我用自己的標(biāo)題和圖片作為演示的開頭，包括華盛頓郵報(bào)的頭條‘FCC Hacked!'.”Robert Naylor說。Naylor曾任聯(lián)邦通訊委員會(Federal Communications Commission,FCC)首席信息官，現(xiàn)在以網(wǎng)絡(luò)安全專家的身份服務(wù)于美國的情報(bào)系統(tǒng)。

　　“隨后，我問FCC的主席以及屋子里的其他人，是否要聽任這種事情的發(fā)生。”Naylor說。當(dāng)時(shí)，iPhone 5已經(jīng)研制完成，F(xiàn)CC比任何人更早的收到了設(shè)計(jì)圖。如果泄密，將給消費(fèi)者與公司帶來了嚴(yán)重的后果。“但是，如果是政府部門被入侵，整個國家的經(jīng)濟(jì)就可能受到傷害。比如，某外國政府獲得了相關(guān)的信息，就可能提早開始進(jìn)行與iPhone相關(guān)的制造和生產(chǎn)。”Naylor解釋到。

　　隨著入侵事件的不斷發(fā)生以及媒體頭條的渲染，很多企業(yè)開始認(rèn)識到信息安全本質(zhì)上就是一種競爭優(yōu)勢。但是，CIO們也同時(shí)發(fā)現(xiàn)，要證明這一點(diǎn)并非易事。能夠有力證明信息安全和商業(yè)價(jià)值之間聯(lián)系的案例太少。那些確實(shí)以安全措施構(gòu)建競爭優(yōu)勢的企業(yè)不愿意分享自身的經(jīng)驗(yàn)。而且，每個公司面對的安全威脅以及防護(hù)措施都是不同的。CIO和安全專家們雖然能夠爭取到更多的信息安全投資，但是整個過程都有一個共同點(diǎn)：僅僅是準(zhǔn)備在事故發(fā)生時(shí)被動地證明投資的正確性，而不是主動地闡明企業(yè)業(yè)務(wù)會遭受的損失。

　　之前在一家制藥公司任職時(shí)，Naylor就經(jīng)歷了知識產(chǎn)權(quán)被盜的事情。一家國外的競爭對手盜取了某種新藥(已經(jīng)通過了美國食品藥品管理局(FDA)的審查)的研制公式。“由于已經(jīng)獲得了FDA的批準(zhǔn)，競爭對手推出的產(chǎn)品能夠順利上市，我們在這種藥上面的銷售額也從預(yù)期的60億美元降到30億美元。與此同時(shí)，我們還得為保護(hù)專利權(quán)而打訴訟戰(zhàn)。”Naylor回憶說。

　　這次泄密事件并非通過網(wǎng)絡(luò)。“隨著線上數(shù)據(jù)呈指數(shù)性的增長，相應(yīng)的安全投入?yún)s沒有跟上。”Naylor表示。更糟糕的是，由于網(wǎng)絡(luò)安全威脅的多樣化，CIO們不知道該將有限的資金投入到哪個方面 – SQL注入攻擊、網(wǎng)絡(luò)釣魚(pishing)、APT攻擊、僵尸網(wǎng)絡(luò)(botnets)等等。

　　Naylor推薦其客戶采用一種新技術(shù)，可以自動化地隔離威脅、發(fā)送警報(bào)給相關(guān)人員并對威脅進(jìn)行分析。這種技術(shù)由一家創(chuàng)業(yè)公司(Naylor不愿提供其名字)開發(fā)，通過與事先建立的網(wǎng)絡(luò)模式的比對，分析入侵的模式和行為并隔離之。

　　安全措施給銀行帶來收入

　　上世紀(jì)90年代末，Sandy Lambert是花旗銀行的首席信息安全官(chief information security officer,CISO)。當(dāng)時(shí)，信息安全的工作被視為純成本的投入。但是，同Naylor一樣，Lambert通過各種機(jī)會來證明安全工作的商業(yè)價(jià)值。在同一家潛在客戶的會議中，她展示了花旗銀行信息安全的整體規(guī)劃，強(qiáng)調(diào)了銀行各層級強(qiáng)烈的安全意識，以及先進(jìn)的加密和數(shù)字簽名技術(shù)。

　　“當(dāng)時(shí)參與投標(biāo)的各家銀行都有安全舉措方面的說明，但是客戶事后告訴我，我們的安全規(guī)劃是最終贏得合同的主要因素之一 -- 信息安全直接給銀行帶來了收入。”Lambert表示。她現(xiàn)在是安全咨詢公司Lambert & Associates LLC的董事長和ISSA(信息安全系統(tǒng)協(xié)會)的創(chuàng)始人。

　　提升全行業(yè)網(wǎng)絡(luò)安全和保持企業(yè)競爭優(yōu)勢之間的悖論

　　當(dāng)David Cullinane在2012年離任ebay首席信息安全官時(shí)，其主導(dǎo)的信息安全規(guī)劃每花一美元，就能帶來價(jià)值10美元的風(fēng)險(xiǎn)消減。如今，越來越多的安全專家愿意分享如何通過信息安全構(gòu)筑企業(yè)競爭優(yōu)勢，Cullinane就是其中一員。

　　“信息安全應(yīng)該并且能夠成為企業(yè)的競爭優(yōu)勢，但是，并非所有事情都是正面的。”Cullinane說：“那些基于信息安全在競爭中獲勝的企業(yè)并不愿意公開其經(jīng)驗(yàn)。他們會說’嗯，我知道該做什么事情，這是我的核心競爭力。‘這種態(tài)度使得其他公司依舊暴露在威脅之下，我們有責(zé)任達(dá)成信息的共享和交流。”Cullinane現(xiàn)在是咨詢公司SecurityStarfish的創(chuàng)始人和首席執(zhí)行官，該公司提供安全威脅的分析報(bào)告，并基于客戶的(很多在《財(cái)富》榜上有名)數(shù)據(jù)進(jìn)行技術(shù)開發(fā)，幫助客戶降低風(fēng)險(xiǎn)避免損失。

　　為了推動eBay在安全方面持續(xù)進(jìn)行投入，Cullinane并沒有采用什么高深復(fù)雜的方法。首先，通過視覺效果極強(qiáng)的PPT演示，讓安全規(guī)劃和商業(yè)目標(biāo)及核心業(yè)務(wù)緊密結(jié)合起來。他用9個方塊代表9種安全風(fēng)險(xiǎn)，每種風(fēng)險(xiǎn)賦予一個數(shù)字，代表了其對于業(yè)務(wù)的價(jià)值。同時(shí)，還包括每種風(fēng)險(xiǎn)發(fā)生的概率以及將會給企業(yè)帶來的損失。“通過圖表直觀的展示，人們可以看到潛在的損失是多么嚴(yán)重，從而也就知道該在什么地方進(jìn)行投入了。”Cullinane說。

　　相對于Niemen Marcus(美國精品百貨店)之類的企業(yè)，eBay的業(yè)務(wù)模式?jīng)Q定了其面臨著更多網(wǎng)絡(luò)安全隱患。對此，Cullinane傾向于通過云計(jì)算方案來應(yīng)對：“比如，亞馬遜的AWS就通過了PCI DSS認(rèn)證(第三方支付行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))。因此，將客戶數(shù)據(jù)放到上面，從安全角度說和之前并無差別。”