业务驱动安全:安全人员应当了解的7个业务指标

安全 应用安全
如今安全人员也得会用业务用语说话了。就从下面这几个关键绩效指标(KPI)开始吧。

如今安全人员也得会用业务用语说话了。就从下面这几个关键绩效指标(KPI)开始吧。

[[253460]]

1. 运营生产率

从基础概念上讲,生产率计算很简单:产出除以投入,商数就是生产率。数字越大,生产率越高。

但麻烦就在于不好确定投入到底由哪些部分组成。要考虑的方面很多,比如资本、人工、材料等等,还要确定每个方面的权重是均等还是各有不同。无数论文、报告和书籍讨论的主题都是怎么确定投入。

安全人员需要知道的就是:安全成本肯定是投入的一部分。这一点将在每年的预算方案制定的时候加以明确。

运营生产率指标对安全有用的事实可能不是那么明显。确定产出——无论是阻止的攻击还是范围更大的什么东西,然后计算投入,可以帮安全团队弄清在可用资源条件下有没有做到尽可能有效。然后就能在制定预算和过程的时候以此信息跟公司其他部门拉锯了。

2. 客户忠诚度和保留率

客户忠诚度的重要性不言自明:从现有客户处接订单总比出去发展新客户省钱省力省时间。换另一种说法就是,用新客户替换流失掉的客户不是业务增长,保留老客户的同时发展新客户才是。

为什么客户忠诚度和保留率对网络安全而言也很重要?因为安全在留住客户方面起着关键作用。首席,保护Web应用并确保个人可识别信息(PII)安全往往给交易增加一定的麻烦,而在当今流畅的网络世界里,客户讨厌麻烦。

同时,调查研究表明,相比便利性,客户如今更看重Web应用的安全性。客户真正想要的是隐式安全。交付安全的方式对公司客户保留率影响极大;从客户忠诚度和保留率角度谈论安全工作可以更高效率地与销售和市场部的同事协作。

3. 毛利率

毛利率是公司高管和业务部门经理烂熟于心的几组数据之一。其计算方式也很简单:从总销售额中减去所售商品成本,再除以该总销售额。没错,毛利率计算公式中总销售额用到了两次,分子和分母上都有。你得到的是一个百分比,该比率越大越好。

网络安全部门也应重视毛利率,因为各种安全开支也是算在所售商品成本里的。总的来说,业务主管总想让网络安全开支尽可能少,越少,毛利率就越好看。

所以,安全团队有必要展现出安全预算的高利用率。网络安全经理理解了毛利率的计算方式和自身工作对毛利率的贡献,就能更有效率地与公司其他业务主管协商。

4. 每过程工作时间

各种意义上讲,现代企业的产品成本中劳动力都占据着很大的比重。所以,弄清每个生产过程中耗用了多少个小时的劳动力就显得十分重要了,而安全对这一指标的贡献度可能超出你的预期。

维持Web应用安全需要多少小时的劳动时间? 安全经理常被高管问及缓解入侵或数据泄露花了多少小时,但预防这些入侵或数据泄露又需要多少小时呢?这些劳动时间都花到了哪些业务过程上呢?所有这些问题都是业务主管精确计算产品成本所需要知道的。

安全经理也只有给出这些问题的答案才能评价自己的安全工作是否有效果和有效率。在安全领域,有效性衡量已经成为共识,但对效率问题作出回应可以更好地将安全融入公司其他部门。

5. 客户流失率

客户流失率是客户保留率相关问题的另一个审视角度。流失率是给定时间段内的客户变动百分比。比如说,客户数量上的变化——无论是增多还是减少。将这一增量(可正可负)除以相应时间单位再乘以总客户数量,就可以得到客户流失率数据了。

流失率综合考虑了失去、获得和保留的客户,是客户基础波动性的良好指标,可帮助安全经理更好地处理新信息收集、历史信息存储和信息保护的问题。

流失率也有助于规划网络及安全设施容量需求。但更重要的是,流失率可以驱动安全、开发和市场营销部门之间的协作,确保安全问题不对客户流失造成太大影响。

6. 净推荐值

广义上讲,客户类型有三种:超喜欢你的品牌且乐意广而告之的;觉得你的产品或服务还行的;超讨厌你且不遗余力诋毁的。虽然销售量往往是中间那类客户撑起的,当今社交媒体环境下你最好最大化第一类客户并控制第三类客户数量。品牌是否成功就看净推荐值高低了。

力拼净推荐值的责任落在市场部身上,但安全团队也要知道自身在愉悦客户上所扮演的角色。安全有效而低调吗?隐私策略是否合理而透明?数据泄露事件的披露和处理是否及时有效?所有这些都对净推荐值有所贡献。

成为市场营销和销售部的合作伙伴,理解净推荐值的重要性,认清安全在提升净推荐值上的作用,可以让面向市场的协商更有效率,改善安全部门在营销人员心目中只会说“不”的既定形象。

7. 客户转化率

潜在客户很重要。实际客户更加关键。将潜在客户转化为实际客户的能力体现在客户转化率上。

在内外销售团队和销售周报的经典销售模式下,销售经理可以查阅电话或到店咨询的数量、新增潜在客户数量和新增销售转化。这些数据一直都很重要,但对消费类企业而言,公司网站访客有多少成为了实际客户才是最重要的。

总转化率中,安全部门需分辨出是哪些环节让潜在客户放弃了该转化过程。如果是下订单时的注册或身份验证步骤,那就说明网站的安全出现了问题。对客户转化率保持关注,确保安全不是转化率下降的原因,你将在预算和规划会议上得到市场营销部的支持。

【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文

责任编辑:赵宁宁 来源: 51CTO专栏
相关推荐

2018-10-08 14:16:38

2009-04-24 14:18:24

2015-11-24 18:12:21

华为

2020-05-29 09:48:54

Python开发Kafka

2015-05-17 21:25:49

2020-04-23 10:00:06

网络安全人员网络安全法网络安全

2019-01-16 15:56:57

2012-01-12 12:31:00

2015-12-14 13:14:34

网络安全华为

2018-10-31 11:00:06

数据科学统计贝叶斯

2017-01-05 14:01:30

安全开发运维漏洞

2015-03-11 10:09:58

信息安全风险管理

2011-12-26 15:43:01

2011-07-25 10:01:40

2016-08-29 22:23:07

2021-07-09 11:29:27

Kaseya漏洞攻击

2011-12-28 10:59:19

2011-12-29 13:19:02

2018-12-17 10:16:31

2017-10-25 15:03:12

网络安全软技能沟通
点赞
收藏

51CTO技术栈公众号