資安很重要,但績效在哪裡?
從企業到部門的績效管理問題
大部分的客戶對於滲透測試報告都是「既期待又怕受傷害」:
希望報告沒有揭露資安問題,才不致因為問題修正延遲發布時間;卻又希望花了錢找人測試能找到問題,這筆投資才划算.資安部門/人員在企業的績效,也亦如是.
楔子
今年三月初在聽說你在當 PM 臉書社群中,和 PM 們分享「PM 已經夠忙了,哪有時間管安全需求 [1]:關於風險」的議題,希望藉由「讓習慣輕而易舉」的概念,使安全需求有機會在更多 PM 心中扎根.
會後,夥伴 Larry 提了一個與資安不完全相關,卻又舉足輕重的問題:
要如何評估資安部門或資安顧問的績效?
當時,我以「透過資安加值產品或服務建立市場差異性」以及「降低產品與服務風險」這兩個方向說明.但其實我心裡很清楚,這兩點不容易具體量化,自然也無法作為績效評核的指標.
今 (2021) 年四月初,因為想要釐清部門和個人 KPI 的關聯,也希望得到部門的回饋作為覆盤的依據,便和主管討論部門對我的期待與部門現階段策略規劃.其中,技術研究人員要背部門營收這一點讓我有些力有未逮,畢竟無職也無權,即便想要負責或許也只能落得「扛責」而非「當責」.
NIST SP Publication 向來包山包海,可惜只有評估資訊安全效能的指引 (NIST SP 800–55 Rev1 Performance Measurement Guide for Information Security),人的問題還是得靠人 (文化與流程) 來解.
感謝程天縱老師在「績效考核系列」與「績效管理誤區系列」的精闢見解與案例分享,讓我得以窺得可行的脈絡.除了釐清企業對於資安部門/人員的期待之外,更多的是理解自身對於企業甚至於這個世界的價值.
不需要有心,你也可以具備普世的老闆思維
面對問題浮現的第一個答案往往最能反映你的潛意識,在面對資安部門績效問題的那一刻,我想到的「績效」是純粹的「利潤」,而不是增長.
獲利是企業的義務,但不是每個部門都可以是「利潤單位」.人事、法務、行政甚至研發等部門,都是企業內不可或缺且的要角.在訂定年度 KPI (Key Performance Index) 時,在正常情況下不會(也無法)肩負「利潤」增長的指標.
試想一個情境
在路邊有一個行動咖啡車,提升咖啡品質和沖煮手法有機會增加回購率、店員甜美(男性觀點)聲音好聽,有增加客戶滿意度的可能.然後 … 就會大賣嗎?
但如果缺少適當的通路(或許是地點、也或許是 KOL 行銷)、商業分析(市場區隔與受眾分析)增加市場「轉換率」;如果沒有好的業務手段增加客戶購買的「勝率」.咖啡好喝和店員甜美的增值效果固然很讚,但可惜的是這個情境不會存在.畢竟「增」值的先決必要條件除了需求、供給與通路的交集外,還要有對應的市場抓取率以及勝率,才有機會提供增「值」的產品.
齊頭式平等的誤區
每個部門都要背負利潤是很常見的誤區,不論大小企業都有機會看到這樣的問題.在年初訂定 KPI 的時候,因為每個部門都背負營收(或利潤)或是降低成本的 KPI ,最終產出帳面上的數字會很漂亮、充滿信心(感覺跟每年訂定個人目標是不是很像XD).
但到了年終驗收的時候的達成率會有多少?「不務正業」會造成什麼負面的影響 ?
人事部門可能不做提升內部滿意度和人員素質的工作,而是想辦法資遣員工降低成本、增加利潤.
研發部門可能不做研發,將所有的事情外包增加營收.當然,也不會將資源放在新技術研究上,保留必要的賣肝維運人力和耐操的專案經理就足以維持運作.
行政部門可能提高採購申請條件、增加採購審查流程,即便沒辦法增加營收,也要想辦法降低成本.
每個部門都關注「自己的目標」,不見得有餘裕去關心人力減少會不會影響產能、增加採購審查流程和門檻會不會造成人力資源的浪費與品質的下降、不做研發會不會喪失市場競爭力,最終被市場淘汰.
甚至,各部門可能因為利益衝突而產生企業內部的鬥爭。
KPI 是企業的儀錶板 (dashboard).KPI 訂得好,除了不同類別的部門可以專注在各自的企業增值項目外,更重要的是讓各部門的目標與企業目標一致,一起航向企業的願景;反之,對於企業的發展、部門間的協作以及人員的留存,將產生無法復原的傷害.
對齊是問題,也是答案
解決問題的關鍵不在資安部門可以做什麼,而在如何就企業因應市場所擬定的策略,提供對應的增長能力.
每個企業即便因為產業別差異而有不同的策略規劃,但基本上不會跳脫「客戶服務」、「流程與系統」、「利潤與增長」、「供應能力」、「市場佔有率」、「人力資源」與「核心技術能力」這幾個面向.
參考程天縱老師的分類方法,部門可分類為「利潤單位」、「成本單位」與「費用單位」.資安部門不屬於直接獲利的「利潤單位」,而是屬於增加營收和競爭力的「費用單位」.藉由增加企業 KPI 各個面向的價值,確保資安部門與企業策略同步,讓「辛勞」有機會成為「功勞(績效)」.
所以,資安部門的關鍵指標在於提升企業各面向「投資報酬率」,在合理的成本下產生更多或更有效率的增長.
以核心技術能力為例
資安部門透過企業內訓的方式建立技術團隊安全開發流程,在需求、開發、測試、營運加入安全元素.除了品質提升外,更讓開發人員從正確 (correct) 進階到 (security) 層級.同時,也因為從需求階段即導入安全觀念,讓測試能夠左移,大幅提升測試覆蓋率與降低問題修復成本.
以利潤與增長為例
資安導入可以讓產品與服務提升一個層級,除了降低企業因為資安問題所造成的形象傷害外,更可作為有安全需求或是將安全是為一種「格調」用戶的選擇,例如黑莓機就是一個例子(當然,也受到恐怖組織的青睞).
或許大家沒有留意,Apple 雖然穩坐漏洞數量前幾席寶座,但 iPhone 或 Mac Book 系列的用戶或許都會在使用的過程中感受到 Apple 對於安全的重視.諸如在攝影機或麥克風開啟的時候會有對應的燈號提示、服務的權限控管做得相對細緻,這些小細節都有機會讓使用者將自己投射為高端商務人士,多一分尊榮的使用者體驗.
除了消費性產品外,對於資安有特殊需求的場域,例如油、水、電、瓦斯等等重要基礎設施,對於產品或系統的要求不僅是易用性與機敏性,可用性更是關注的面向.鐵軌切換的速度慢了一些、核電廠燃料棒拔出來的時間晚了一點,這些異常行為都會對於人身、環境和安全造成重大影響.
如果產品或服務想要進入這樣的利基市場,資安絕對會是必要的加值條件.
說了這麼多,是不是你也想投入資安市場了!
結論
資安部門和一般輔助部門(例如:人資、法務)在企業中扮演的角色類型相同,使用一樣的思維訂定部門 KPI 自然解決「資安很重要,但績效在哪裡?」的問題,避開齊頭式平等的誤區.
與此同時,同步企業與資安部門 KPI ,除了對齊價值觀、建立資安部門對於企業產品或服務的增長價值外,資安部門得以有更多的機會接觸各部門,讓「資安真正落地」,提供更全面的安全防護,形成正向的循環.
跋
去 (2020) 年八月有機會與業界的大神討論安全導入的做法與可能的機會,那是第一次清楚描繪出自己作為資安從業人員的「輪廓」.沒想到卻在半年後的一次分享中,因為會後一個問題動搖了自己存在的價值.
個人的估值、市值、實值說穿了不過是市場領先或落後的指標,企業 KPI 也只是面對市場的策略手段.很感謝 Larry 的提問,讓我得以反思自己對於市場與企業策略的理解,以及對於自己三年後的期待.
