第六章 衡量安全架构的投资回报（6.1-6.5）---------基于业务驱动的企业安全架构（翻译，原作者John Sherwood）----仅学习使用

第六章 衡量安全架构的投资汇报

上一章强调了能够衡量和监控绩效的必要性。 下一章通过研究与安全架构相关联的业务性能度量来建立在这个想法的基础上。 越来越多的高级管理团队在对新开发项目进行重大投资之前寻找商业案例。 他们正在寻找的一个关键绩效指标是某种投资回报率，或者至少是价值回报率。 本章探讨了可用于评估企业安全架构投资回报的几种方法。
在本章中，您将了解：

1. 在安全架构计划的背景下解释投资回报和价值回报的概念；
2. 测量、度量和监控的概念以及使用仪表板显示关键绩效指标；
3. 衡量企业绩效的平衡计分卡方法；
4. 衡量企业绩效的 SABSA ® 业务属性方法；
5. 使用能力成熟度模型衡量企业绩效；
6. 根据外部措施对企业安全架构和安全管理实践进行基准测试。

6.1 “投资回报率”是什么意思？

“投资”是指现在花费一些资源（金钱、时间、精力），以便在以后获得回报。 回报发生之前的时间长度可能从几天到几年不等。“回报”意味着回报本身。 所以这是您的主要困难之一：您投资于安全性，安全性很好，回报是——什么都没有发生！ 是的，没错——没有安全事件，因为安全运行良好。

一些安全专业人士试图将安全作为保险，将安全推销给高级管理人员。 这种方法未能认识到安全和保险的真实性质。 保险不是预防措施。 您购买人寿保险单正是因为您知道死亡是一种最终无法避免的风险。 但是这些政策对您的生活质量没有任何贡献，也不会延长寿命。 那些使用这种保险类比来证明安全性的人通常会期望不会发生任何有价值的事情，因此他们对将安全性视为业务抑制因素的看法做出了重大贡献。

这个有点矛盾的命题可能会对您的安全业务案例造成很大的破坏，因为“投资回报”意味着某些事情发生了。 不仅如此，它还意味着您可以衡量某些东西以评估您获得的投资回报率。 无论您喜欢与否，如果您要让高级管理人员相信安全为组织增加了价值，您必须能够展示增加的价值并衡量增加的价值。

使用“价值回报”而不是“投资回报”这个词可能会更好，因为这已经表明事情并不那么简单。 但是，在决定展示和衡量价值回报后，您现在必须找到实现该衡量的方法。 本章重点讨论这个问题。

为什么需要指标？

看一下其他人对指标和测量的看法：

“如果你能衡量你所说的并能用一个数字来表达它，你就会对你的主题有所了解； 但如果你不能衡量它，你的知识就很薄弱，不能令人满意。------------Lord Kelvin
“测量能力是人类的一大能力。”----------------F. D. Rossini
“衡量可衡量的东西，使尚未衡量的东西成为可衡量的。”-------------Galileo Galilei
“如果你不能衡量它，你就无法管理它。”--------------Peter F. Drucker

这些都为本章的主题提供了一些启示，但Peter Drucker的信息，作为更现代的系列，也许是最密切的。 这显然是常识，绝对是现代管理理论的核心。 将其应用于安全架构，如果你想管理安全，那么你需要衡量你的行为的效果——这意味着你需要以某种方式衡量安全。

现在从组织中几个关键群体的角度更详细地考虑这一点：

信息安全组经理需要了解安全管理计划的进展情况：

1. 团队取得了什么成就？
2. 团队是否为组织增加了价值？
3. 我如何证明我们的价值？
4. 我如何证明部门的预算是合理的？
5. 我怎样才能激励团队取得更大的成就？

各个团队成员还需要知道事情的进展情况：

1. 我们有进展吗？
2. 我能感受到成就感来鼓舞士气吗？
3. 我能看到我的职业发展吗？
4. 我可以在下一次员工评估中衡量我的成就吗？

高级管理人员需要衡量成功：

1. 什么样的保证可以证明我们系统的安全性是足够的？
2. 我可以证明已经进行了尽职调查吗？
3. 我们是领先于其他人，还是落后于其他人，还是我们舒适地处于中间位置？
4. 我们是否履行了公司治理责任？
5. 我从安全投资中获得了什么样的回报？

对度量和指标的需求很明确，但信息安全经理常常难以提供有用的指标。 这里介绍了 SABSA ® 业务属性配置文件作为解决方案。 它使用了作者完全基于向主要组织咨询企业安全架构的实践经验开发的一系列业务属性——但首先看一下其他一些理论概念。

6.2 安全管理仪表板

汽车和飞机等复杂的工程系统提供了一种向控制系统的人员反馈广泛信息的方法。 在飞机上，这被称为“仪表板”； 在汽车中，它被称为“仪表板”。 这些面板有许多刻度盘和仪表，每个仪表都可以测量系统的一些关键参数——速度、高度、燃油液位、发动机温度、气压等。

现在该回顾一下第 5 章中讨论过的反馈控制回路模型，如图 5-4 所示。 飞机上的仪表板报告测量结果，告知飞行员飞机的状态。 飞行员做出决定并通过控制装置（方向舵、襟翼等）实施。 这些对控件的更改会影响测量的参数，飞行员会持续监控面板并更改控件以驾驶飞机。 这是反馈控制回路的经典示例。

就像飞机飞行员一样，您需要一种用于安全管理的仪表板或仪表板，测量和报告您先前决策的有效性水平，并帮助您做出新的决策，以保持并可能提高这种有效性。 您选择的测量值将显示在您的概念仪表板上。 图 6-1 以图解方式显示了这一点。

图 6-1：安全管理仪表板

战略规划和管理：制定长期目标和实现这些目标的计划。战略目标往往需要一年甚至几年的时间才能实现。然而，战略规划可能有开始，但永远不会结束。以战略为中心的组织往往处于不断变化的状态，他们的成功取决于他们管理规划的变化的能力。

战术规划和管理：制定中期目标和实现计划。战术目标通常需要几个月才能实现，而战术规划有开始和结束。你必须把控战术程序的节奏。项目通常是战术性的主动行动，可以让您进一步实现战略目标，或者，有时你需要在纯粹的战术基础上做事情，而不考虑具体的战略，因为有一个当前战略没有解决的紧迫问题，你需要现在就做一些事情。稍后，这一差距可以通过新的战略加以解决。

运营规划和管理：处理维持业务运营的日常工作。运营工作是基于构成业务流程的重复过程。这些过程和程序很可能是通过战术项目开发的，而战术项目又是由战略驱动的。

哈佛商学院的理念很简单：你不能忽视其中任何一种活动，一个成功的企业同时在所有三个层面上运作。

回到仪表盘概念，要使其在实践中发挥作用，您需要适当的工具和指标来提供面板上显示的信息，以及规划和管理的所有三个领域的信息。在介绍SABSA® 业务属性配置文件方法作为提供这些度量的方法之前，我们先介绍了您可能需要考虑的其他潜在方法。特别是，平衡计分卡方法具有优点。

6.3 平衡计分卡方法

平衡计分卡（BSC）的概念由Robert 哈佛商学院（Harvard Business School）的卡普兰（Kaplan）和顾问戴维·诺顿（David Norton）于1993年提出并发布。平衡计分卡是一种高级管理人员衡量和改进组织绩效的战略工具。卡普兰和诺顿论文的主旨是，传统的财务指标，如投资回报率或每股收益，仅适用于报告结果，而这些指标在帮助做出有效的战略决策以实现结果方面用处不大。

平衡计分卡方法已经成为主流管理科学的一个中心主题，并且非常流行。现在，它与业务流程再造具有类似的地位。它的优点是将财务和运营绩效指标结合成一个单一的框架，“将公司的战略目标转化为一套连贯的绩效指标”。它已专门应用于信通技术管理和信通技术安全管理。

“平衡计分卡是一种工具，可以将组织的使命和战略转化为一套全面的绩效衡量标准，为战略衡量和管理体系提供框架。”卡普兰和诺顿的BSC为绩效衡量提供了四个视角：

1. 财务视角：涵盖单位成本、收入增长、盈利能力、杠杆率等传统衡量方法。
2. 客户视角：包括主观测量（如客户满意度调查）和客观测量（如顾客获得率、顾客保留率等）。
3. 内部流程视角：关注效率度量，例如回答客户查询、完成客户订单所需的时间；开立新的客户帐户等。
4. 创新和学习视角：通过衡量培训、创新过程等方面的投资，解决不断变化和适应的需求。

这四个视角实际上是一种架构模型，如图6-2所示。记分卡只是四个视角领域中每一个领域的目标（意图）和匹配度量（结果）的一系列陈述，提供了组织需要实现的平衡视图。

“组织通过以下方式受益于平衡计分卡的使用：

1. 明确整个组织的愿景；
2. 获得执行团队的共识和所有权；
3. 提供一个框架来协调组织；
4. 为多项倡议提供结构；
5. 推动资本和资源配置流程；
6. 整合整个组织的战略管理流程；
7. 让团队和个人关注战略重点。

图6-2：平衡计分卡的体系结构

“平衡计分卡是一个强大的框架，通过将愿景和战略转化为一系列能够推动行为，进而推动绩效的运营目标，帮助组织快速实施战略。战略驱动的绩效衡量提供了必要的反馈机制，可以随着时间的推移动态调整和细化组织的战略。平衡计分卡的概念建立在以下前提之上：衡量是激励组织利益相关者采取行动的因素。归根结底，组织的所有活动、资源和倡议都应与战略保持一致。平衡计分卡通过明确定义目标、措施和倡议之间的因果关系来实现这一目标，这种关系贯穿于组织的各个层面。制定平衡记分卡是创建战略导向型组织的第一步。创建以战略为中心的组织基于五个原则：

1. 将战略转化为运营术语和绩效目标；
2. 使组织与战略保持一致；
3. 通过制定每个人的工作策略来激励员工；
4. 适应使战略成为一个不断变化的过程；
5. 通过行政领导调动资源进行持续变革。

“以战略为中心的组织的五项原则说明了平衡计分卡采用者是如何将其开创性工具推向下一个水平的。这些组织使用记分卡创建了一个全新的绩效管理框架，将战略置于关键管理流程和系统。

表6.1:IBFS RTSS的业务驱动因素


“一般来说，缺乏重点或方向、新战略或需要实现组织与共同愿景的一致性的情况有利于平衡计分卡方法。”

所有这些都与本书迄今为止所说的关于企业安全架构的需求和好处的内容非常协调。这里讨论平衡计分卡是因为它作为一种方法值得您考虑。如果您想继续这样做，建议您参考Kaplan和Norton，并访问BSCOL网站了解更多信息。

6.4 业务驱动因素和可追溯性

每个企业都是一个独特的复杂系统。就像飞机的仪表板一样，您可以测量许多不同的参数并向飞行员报告。那么，您应该选择哪些参数，以及应该为每个参数使用哪些指标？

在作者多年与大型公司客户合作的经验中，他们总是从业务风险的角度接触安全驱动因素。如果安全性很难衡量，那么风险作为安全性的反义词，提供了一种不那么困难的衡量方法。几十年来，风险评估一直是管理科学的中心主题，有许多方法和途径可供选择。

在进行许多风险评估时，作者发现，每种商业风险都可能表现为商业美德的反义词——需要保护和维护的东西。在SABSA®方法中，这些优点被称为业务属性，在编写本文时，已经确定并定义了其中的85个属性。每个业务属性都是评估业务风险并将这些风险分类到有用标题下的实践经验的精华。

从中作者了解到，评估业务风险的最佳方法是首先确定业务驱动因素，即业务在安全方面需要的东西。帮助您理解这些概念的最好方法是通过示例。下面的案例研究将说明这种方法。

6.4.1 案例研究：IBFS实时结算系统（RTSS）

IBFS正在引入一种新的后台计算机系统，以实现前台交易的实时结算。已经开展了几次头脑风暴研讨会，以收集该系统中所有安全业务驱动因素。这些研讨会的结果已在表6-1中整理并制成表格。

这些业务驱动因素实际上是上下文安全架构的开场白，更多内容将在第9章中讨论。

第3章中介绍的多层体系结构模型的主要优点之一是它提供了双向可跟踪性。首先从上下文安全架构（业务驱动程序），并通过一系列抽象来开发组件安全体系结构和操作安全体系结构。这个分层框架确保了每个组件和每个操作过程都在那里，因为在模型的顶部有一个业务驱动因素，最终会被这些元素所满足。

如果你需要回答“我们为什么这样做？”然后，通过追溯业务需求和链接该可追溯性的每个级别的基本原理，通过层的开发路径总能找到答案。因此，该方法提供了可追溯性，为安全体系结构的每个部分提供了充分的理由——它始终基于业务需求。

图6-3 业务属性分类

图6-4：双向跟踪

6.5 业务属性和指标

虽然每个商业组织都是独特的，但在不同的组织中，甚至在不同的行业部门中，都会反复看到相同类型的商业驱动因素。这使得作者编写了《业务属性分类法》，完全基于对客户实际经验的分析。图6-4以图表形式显示了该分类法的摘要，表6-2提供了每个业务属性的详细定义。

您应该马上认识到的一件事：虽然这种分类是广泛的，但几乎可以肯定它是不完整的。

在完成另一个客户分配后，添加一个或两个以上的业务属性并不罕见。在编写时，属性的总数为85。如果在查看业务需求时似乎存在差距，请准备添加和定义自己的业务属性。

《商业属性》分为七大类，同样完全来源于实践经验：

1. 用户属性–与用户在系统中的安全体验相关；
2. 管理属性–管理系统的安全要求；
3. 风险管理属性——包括识别和管理业务风险的通常扩展安全要求集；
4. 法律和监管属性——涵盖合规问题；
5. 技术战略属性——解决技术架构的战略方面；
6. 商业战略属性–高级经理和董事会想要看到的。
7. 业务属性可以通过以下两种方式之一使用：
8. 作为提示您思考业务驱动因素的选择列表，即从业务开始
9. 属性列表，并使用它创建业务驱动因素列表；
10. 作为对业务驱动因素完整性的交叉检查，即从业务列表开始驱动程序（以其他方式创建）并对照业务属性列表进行交叉检查。

然而，根据业务驱动因素的表达方式，业务驱动因素和业务属性之间不一定存在一对一的映射。一个业务驱动因素很可能映射到多个业务属性，一个业务属性与多个业务驱动因子关联。

无论业务属性和业务驱动因素之间的关系是一对一还是多对多，演示这种关系的能力对于上一节中讨论的双向可追溯性至关重要，如图6-3所示。交叉映射有必要证明：

1. 理由–上下文安全体系结构中列出的每个业务驱动因素（安全要求）都是有效的，因为它可以支持或增加业务资产或价值（业务属性）；
2. 完整性–业务属性列表显示为完整，因为每个属性都是来自至少一个活动业务驱动因素的概念化期望回报。

表6-2：业务属性定义和指标

可升级
该系统应能够轻松升级，以纳入新的硬件和软件版本。
软
针对技术架构（概念、逻辑和物理）的安全架构（Architecture）能力成熟度模型，进行独立审计和审查