確保網絡安全投資不僅僅關乎數(shù)字運算，更在于培養(yǎng)跨職能關系。對于CISO而言，爭取關鍵利益相關者的支持將有助于獲得關鍵資金。

在確保網絡安全投資方面，有許多因素在起作用。關鍵往往在于CISO能否與企業(yè)內的關鍵利益相關者建立關系，然而，CISO們面臨著在預算有限的情況下保護企業(yè)的任務。

盡管近三分之二的CISO報告稱預算有所增加，但根據(jù)IANS 2024年安全預算基準摘要報告，今年的平均資金增幅僅為8%，遠低于前一年的增長水平。

在預算受限的情況下，CISO能否獲得足夠的資金取決于他們在企業(yè)內的影響力和聲譽。與關鍵業(yè)務領導者建立牢固關系對于實現(xiàn)預算目標至關重要。

從開發(fā)人員到首席財務官：如何建立信任

TriNetX的CISO Erica Antos非常重視建立強大的跨職能合作伙伴關系，這些關系不僅能推動安全舉措，還能與企業(yè)的整體目標保持一致。她認為，相鄰的業(yè)務職能是合作與協(xié)同的重要伙伴。

在她的工作中，這包括了解首席財務官的優(yōu)先事項，與法律部門合作確保滿足數(shù)據(jù)保護要求，并與IT和工程部門緊密合作，使安全工具與更廣泛的企業(yè)需求相契合。“你需要了解他們的目標是什么，并找出安全部門也能使用的、有助于實現(xiàn)雙方目標的工具。”Antos說道。

例如，零信任解決方案將有助于IT部門實現(xiàn)網絡訪問的現(xiàn)代化，并消除對VPN的需求。隱私要求可能涉及總法律顧問和通過數(shù)據(jù)保護實現(xiàn)的安全。為此，她建議與法律部門溝通他們的需求，以及安全部門能否提供任何工具來幫助他們實現(xiàn)目標。

在其他情況下，這可能涉及工程部門，與開發(fā)人員合作，并與首席技術官就代碼審查或安全警報等事項進行溝通。“你可以采用安全部門可能使用的安全事件信息管理系統(tǒng)解決方案，該解決方案也可以進行部署，以幫助工程團隊。”她告訴記者。

當然，與財務部門建立良好的關系至關重要，這包括了解他們的目標，并展示安全舉措如何有助于實現(xiàn)這些目標或節(jié)約成本。

“這可能不是與財務部門合作部署某種工具或為某事爭取預算，而是展示效率，或部署某些工具如何節(jié)省X美元。”Antos說道。

CISO的匯報線對預算和關系的影響

CISO基于其匯報線與某些利益相關者的親近程度，也會影響他們與關鍵業(yè)務領導者保持一致的能力。CISO向首席財務官、CIO或直接向首席執(zhí)行官匯報，都會影響他們如何確定安全需求的優(yōu)先級、如何溝通安全需求，以及最終他們獲得額外資金支持的速度。

“這可以指導日?；樱㈥P系，幫助他們了解自己所在團隊的需求，并能夠更快地保持一致?！盇ntos說道。

Antos認為，如果這迫使CISO了解企業(yè)運作的業(yè)務方面，那將是有幫助的?！斑@是從業(yè)務角度思考效率，而不是純粹從技術角度思考?！彼f道。

反過來，應用業(yè)務思維有助于CISO實現(xiàn)預算目標，并在日常安全運營與包括董事會在內的領導層的戰(zhàn)略目標和優(yōu)先事項保持同步時獲得更大的滿意度。根據(jù)IANS報告，當從業(yè)務風險的角度考慮安全計劃時，領導這些計劃的CISO更有可能對預算感到滿意。

然而，安永(EY)全球及亞太區(qū)網絡安全咨詢負責人Richard Watson表示，在實際操作中，CISO可能會發(fā)現(xiàn)自己面臨一個關鍵的悖論。一方面，董事會可能表示對網絡風險的興趣不大，但另一方面，管理層可能會說需要削減一定比例的預算?！斑@些幾乎是無法調和的立場，但我看到許多CISO正在為這一悖論而掙扎?！盬atson說道。

雖然首席財務官因其預算管理角色而成為關鍵利益相關者，但在這種情況下，Watson表示，CISO重要的是要突出這些相互矛盾的目標，并尋求天然盟友的幫助，以爭取對預算的支持。

他建議，CISO可以與審計風險委員會主席溝通，解釋這一悖論，因為如果管理層不聲明其運營方式正在限制預算，董事會可能并不總是能看到這一點。“如果與審計風險委員會主席溝通，這可以幫助CISO證明進一步增加預算的合理性，或者為什么保持預算不變、不削減資金是一項要求?！彼嬖V記者。

在更廣泛的企業(yè)內保持可見度

IANS報告指出，對預算滿意的CISO通常在領導層中具有可見度和可信度，參與風險管理討論，并向董事會提供項目指標，該報告建議，CISO必須在更廣泛的企業(yè)內保持可見度并積極參與，同時圍繞業(yè)務風險而非技術控制來構建對話框架。

Watson同意，為了成功駕馭有影響力的、與資金相關的關系，CISO需要在更大企業(yè)范圍內超越網絡和IT職能，提高自己的可見度?！八麄兛赡軓募夹g崗位起家，但要擴展到IT部門之外，他們就需要被視為業(yè)務伙伴和業(yè)務顧問?！盬atson說道。

如Smartsheet的CISO Chris Peake所指出的，這不僅僅是關于CISO的可見度——而是幫助企業(yè)了解其面臨的網絡安全威脅的范圍。目標是為圍繞優(yōu)先事項以及因此而產生的資金和預算決策提供背景。

“如果安全要成為業(yè)務的推動者，那么不僅僅是CISO和安全計劃需要可見度;威脅格局也需要對每個人都清晰明了?！盤eake說道。

CISO的角色是在整個企業(yè)內廣泛傳達這一信息，包括向高管層和董事會傳達，并將其與整體業(yè)務目標相一致?！捌髽I(yè)的其他部門需要了解他們正面臨什么，這有助于他們?yōu)闆Q定優(yōu)先事項提供背景?！盤eake說道。

雖然CISO熟練掌握財務知識并不總是自然而然的事情，但隨著更多對話開始考慮業(yè)務的財務方面，這一情況正在改變?！拔业拇蠖鄶?shù)同行都在討論預算，以及我們如何為新技術融入企業(yè)提供資金和支持?！彼f道。

像GenAI這樣的新技術開辟了新的威脅載體，也引發(fā)了一些關于預算的對話，因為它們需要投資來管理和保障安全?！八鼈兛赡苄枰Y源，這就需要我們在如何部署現(xiàn)有工具方面采取新的視角?！彼f道。

盡管如此，在某些情況下，CISO在爭取某些項目獲得優(yōu)先考慮時會面臨挑戰(zhàn)，從而阻礙預算決策。

Antos表示，與關鍵利益相關者沒有關系，甚至關系緊張，都會產生原本不存在的障礙。“這可能導致對安全團隊試圖做的事情產生誤解，或導致錯誤的假設、誤解或溝通不暢?！彼f道。

這些可能會阻礙預算分配，并導致解決方案或倡議從優(yōu)先事項列表中掉落，這強調了對項目重要性達成共識的重要性，這需要建設性的關系和一致的優(yōu)先事項。

“很多時候，安全部門的工作是由其他團隊實施的，比如工程團隊、開發(fā)人員或IT部門，因此，無論你想實施什么，都需要將其納入他們的工作隊列中作為優(yōu)先事項?！彼f道。

財務素養(yǎng)是影響資金關系的基礎

Watson表示，隨著企業(yè)面臨財務逆風，這給CISO帶來了更大壓力，要求他們向包括首席財務官、首席執(zhí)行官和董事會在內的利益相關者證明其預算的合理性?！按送?，美國證券交易委員會(SEC)披露的新要求正推動人們高度關注網絡風險量化，因為重要性已成為一個真正關鍵的因素。”他說道。

為了有力地應對這些挑戰(zhàn)，CISO需要將網絡風險與預算聯(lián)系起來，這就是為什么網絡風險量化工具對于他們構建有力的商業(yè)案例變得越來越重要。

“你如何證明某件事是否重要?你需要一個數(shù)學公式來做到這一點。網絡風險量化現(xiàn)在正在企業(yè)內掀起一股熱潮，這既是藝術也是科學?！彼f道。

對于小型企業(yè)以及那些沒有聘請咨詢公司的企業(yè)，Antos建議他們利用ISACA或IANS的工具和資源來構建風險分析和預算編制流程?！斑@些工具提供了指導和材料，幫助安全團隊在內部培養(yǎng)必要的財務素養(yǎng)和預算編制流程。”她說道。

ISACA的能力成熟度模型集成(CMMI)框架有助于成本控制和基于風險的預算編制策略。根據(jù)2023年CMMI技術報告，使用該框架的企業(yè)成本差異減少了47%。

對于Antos而言，信息系統(tǒng)和會計學的學位有助于她彌合CISO角色中的技術和財務方面，她強調，了解財務語言并傳達安全投資的業(yè)務價值，可以顯著增強CISO在談判預算時的地位。

對于CISO而言，財務素養(yǎng)不再是可選的——它是與利益相關者互動并為安全投資構建商業(yè)案例所必需的。

了解預算編制流程并傳達安全的業(yè)務價值，使CISO能夠彌合技術要求和企業(yè)優(yōu)先事項之間的差距，確保他們獲得所需的資源。

在實際操作中，關于安全需求的對話，特別是涉及大型項目時，需要盡早開始，并解釋它將如何影響業(yè)務。

“提前準備好所有這些要比在預算編制過程中嘗試做這件事容易得多?！彼f道。