給你的公司領(lǐng)導(dǎo)層來場辦公室外的切身體驗(yàn)，好讓他們知道自己預(yù)算決策的利害攸關(guān)部分是哪些。

[[285732]]

2015 年夏末，我安排了一場和一家大客戶的場外研討會。我有兩個(gè)目標(biāo)：一個(gè)是建立難忘的體驗(yàn)，向管理層展示風(fēng)險(xiǎn)是如何轉(zhuǎn)化成網(wǎng)絡(luò)安全人員的策略和行動的。

而通過在公司財(cái)年的第四季度安排此事，第二個(gè)不太明顯的議程，就是確保這同一批決策者在討論我提出的下一財(cái)年安全預(yù)算時(shí)，非常清楚問題的癥結(jié)和重點(diǎn)。

至少對我的部門而言，之前大體上是紙上談兵的桌面爭論，就變成了董事會對自身開支決策的現(xiàn)實(shí)影響更為深刻的理解。

作為全球 CISO，我將年終歲尾視為在本年度強(qiáng)勢收尾的短期收益，與部署企業(yè)來年成功的戰(zhàn)略投資之間的平衡操作。

對很多 CISO 而言，能做的最大年末投資，就是橋接業(yè)務(wù)與技術(shù)利益相關(guān)者之間的鴻溝。所以我組織了與公司重要客戶之間的體驗(yàn)之旅，重要到董事會和 CEO 很樂于花時(shí)間拜訪的那種大客戶。行程中包含我們外部咨詢團(tuán)隊(duì)的一場展演，討論先進(jìn)技術(shù)的實(shí)現(xiàn)若缺乏恰當(dāng)?shù)陌踩胧?dǎo)致何種風(fēng)險(xiǎn)。

該活動帶來了短期和長期紅利。因?yàn)?CEO 和董事會獲得了更多的背景知識，他們?yōu)閬砟炅舫隽烁嗟陌踩A(yù)算。而且，由于參加活動的其他業(yè)務(wù)主管學(xué)到了更多關(guān)于安全的知識，整個(gè)公司也營造出了更具風(fēng)險(xiǎn)意識的文化。

CISO 和安全主管若想做出類似的投資以對抗安全疲勞，不妨看看我展示來年網(wǎng)絡(luò)安全投資重要性和贏取來年預(yù)算談判的五步藍(lán)圖。

1. 當(dāng)策劃者，不做執(zhí)行者

作為網(wǎng)絡(luò)安全主管，你自然想要為自己的部門爭取更多的預(yù)算，董事會和 CEO 都知道這一點(diǎn)。所以，你不能親自上陣主持這場體驗(yàn)活動。我的建議是，把體驗(yàn)活動外包給一家咨詢公司，或者與已有合作的團(tuán)隊(duì)協(xié)作，由他們向董事會和 CEO 呈現(xiàn)這一體驗(yàn)。

2. 創(chuàng)建有影響力的議程

你或許不是體驗(yàn)之旅的臺前主導(dǎo)，但不能將日程和節(jié)奏安排并一并委托了出去。體驗(yàn)之旅的第一階段可以按如下標(biāo)準(zhǔn)安排：

• 提起興趣：你找的客戶或合作伙伴應(yīng)是公司 CEO 和董事會都認(rèn)可，且想要與之互動的。
• 貼合公司業(yè)務(wù)：確保公司業(yè)務(wù)與您訪問的客戶之間有著充足的觸點(diǎn)。業(yè)務(wù)挑戰(zhàn)、行業(yè)等等，總有些東西是相關(guān)的。確保董事會和 CEO 能夠輕松將體驗(yàn)之旅所得聯(lián)系回公司身上。
• 走出辦公室：記住，該投資是一場體驗(yàn)。為你的 CEO 和董事會創(chuàng)建一場打破常規(guī)的活動，使之積極參與，印象深刻。

與第三方顧問緊密合作，但最終，你才是這場體驗(yàn)的策劃者，向執(zhí)行層呈現(xiàn)公司面對的風(fēng)險(xiǎn)是你的職責(zé)。顧問可以幫助橋接空白和拉近演示與業(yè)務(wù)側(cè)利益相關(guān)者的關(guān)系。

3. 直觀演示，不要干巴巴講解

下一步就是董事會會議室里的 “震撼教育” 了：給你的董事會和 CEO 直觀演示該公司技術(shù)若用于惡意目的會產(chǎn)生什么后果。如果去一家起重機(jī)公司，給他們看白帽子黑客如何侵入物聯(lián)網(wǎng)起重機(jī)。如果參觀一家聯(lián)網(wǎng)家居制造商，展示黑客如何秘密訪問 Nest 攝像機(jī)與家中主婦交談數(shù)小時(shí)。這可以讓你的 CEO 和董事會看到網(wǎng)絡(luò)威脅的直接影響，直觀感受到不緩解這些威脅和風(fēng)險(xiǎn)會給公司和客戶帶來的直接后果。

這是向董事會和 CEO 展示缺乏健壯網(wǎng)絡(luò)安全和網(wǎng)絡(luò)風(fēng)險(xiǎn)管理可致業(yè)務(wù)進(jìn)展與創(chuàng)新幾乎全被抵銷的最佳機(jī)會。

4. 直接要求

兩階段的實(shí)際體驗(yàn)后，你就可以作為安全主管站到臺前了。向你的董事會和 CEO 闡述你和你的安全部門都在做些什么，將研討會截至目前累積起來的安全與風(fēng)險(xiǎn)認(rèn)知變現(xiàn)。然后，清楚地直擊重點(diǎn)：告訴他們你需要確保公司和客戶不遭遇類似的被黑命運(yùn)。

5. 在哪兒增加開支

體驗(yàn)之后，有兩個(gè)方向可供增加網(wǎng)絡(luò)安全項(xiàng)目開支：一個(gè)是事件響應(yīng)(以及劃歸 NIST CSF 響應(yīng)類別的一些活動：響應(yīng)規(guī)劃、溝通、分析、緩解和改善);另一個(gè)是增加高管層可見性和報(bào)告。

記住你此項(xiàng)投資的重點(diǎn)：讓你的 CEO 和董事會關(guān)注網(wǎng)絡(luò)安全，將網(wǎng)絡(luò)提升到董事會和高管層討論的問題。我強(qiáng)烈建議不要談?wù)摬少徲忠豢罱K端工具什么的，要去講述你希望達(dá)成的效果：更具彈性和網(wǎng)絡(luò)意識的企業(yè)。

具體來說，投資紅藍(lán)隊(duì)事件響應(yīng)演習(xí)，無論是桌面推演還是全模擬演練，都會給你的董事會和 CEO 留下你已為真正的事件做好準(zhǔn)備的直觀印象。后面再跟可增加網(wǎng)絡(luò)項(xiàng)目可見性的解決方案投資。這是你必須實(shí)現(xiàn)集成解決方案的地方，你得以此解決方案達(dá)成自動化報(bào)告，在商業(yè)語境中為公司董事和高管直觀呈現(xiàn)你的網(wǎng)絡(luò)項(xiàng)目。

進(jìn)入第四季度，用完年度預(yù)算很重要，同樣重要的是有效使用你的年度預(yù)算。投資此類體驗(yàn)可轉(zhuǎn)變公司管理層看待網(wǎng)絡(luò)安全的態(tài)度，打破慣常的安全疲勞。只要執(zhí)行恰當(dāng)，該短期及長期受益將改善公司風(fēng)險(xiǎn)態(tài)勢，幫助公司領(lǐng)導(dǎo)做出更明智的安全開支決策。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文