在確保網(wǎng)絡(luò)安全投資方面，有許多因素在起作用。關(guān)鍵往往在于CISO能否與企業(yè)內(nèi)的關(guān)鍵利益相關(guān)者建立關(guān)系，然而，CISO們面臨著在預(yù)算有限的情況下保護(hù)企業(yè)的任務(wù)。

盡管近三分之二的CISO報告稱預(yù)算有所增加，但根據(jù)IANS 2024年安全預(yù)算基準(zhǔn)摘要報告，今年的平均資金增幅僅為8%，遠(yuǎn)低于前一年的增長水平。

在預(yù)算受限的情況下，CISO能否獲得足夠的資金取決于他們在企業(yè)內(nèi)的影響力和聲譽(yù)。與關(guān)鍵業(yè)務(wù)領(lǐng)導(dǎo)者建立牢固關(guān)系對于實現(xiàn)預(yù)算目標(biāo)至關(guān)重要。

從開發(fā)人員到首席財務(wù)官：如何建立信任

TriNetX的CISO Erica Antos非常重視建立強(qiáng)大的跨職能合作伙伴關(guān)系，這些關(guān)系不僅能推動安全舉措，還能與企業(yè)的整體目標(biāo)保持一致。她認(rèn)為，相鄰的業(yè)務(wù)職能是合作與協(xié)同的重要伙伴。

在她的工作中，這包括了解首席財務(wù)官的優(yōu)先事項，與法律部門合作確保滿足數(shù)據(jù)保護(hù)要求，并與IT和工程部門緊密合作，使安全工具與更廣泛的企業(yè)需求相契合?！澳阈枰私馑麄兊哪繕?biāo)是什么，并找出安全部門也能使用的、有助于實現(xiàn)雙方目標(biāo)的工具?！盇ntos說道。

例如，零信任解決方案將有助于IT部門實現(xiàn)網(wǎng)絡(luò)訪問的現(xiàn)代化，并消除對VPN的需求。隱私要求可能涉及總法律顧問和通過數(shù)據(jù)保護(hù)實現(xiàn)的安全。為此，她建議與法律部門溝通他們的需求，以及安全部門能否提供任何工具來幫助他們實現(xiàn)目標(biāo)。

在其他情況下，這可能涉及工程部門，與開發(fā)人員合作，并與首席技術(shù)官就代碼審查或安全警報等事項進(jìn)行溝通。“你可以采用安全部門可能使用的安全事件信息管理系統(tǒng)解決方案，該解決方案也可以進(jìn)行部署，以幫助工程團(tuán)隊?！彼嬖V記者。

當(dāng)然，與財務(wù)部門建立良好的關(guān)系至關(guān)重要，這包括了解他們的目標(biāo)，并展示安全舉措如何有助于實現(xiàn)這些目標(biāo)或節(jié)約成本。

“這可能不是與財務(wù)部門合作部署某種工具或為某事爭取預(yù)算，而是展示效率，或部署某些工具如何節(jié)省X美元?！盇ntos說道。

CISO的匯報線對預(yù)算和關(guān)系的影響

CISO基于其匯報線與某些利益相關(guān)者的親近程度，也會影響他們與關(guān)鍵業(yè)務(wù)領(lǐng)導(dǎo)者保持一致的能力。CISO向首席財務(wù)官、CIO或直接向首席執(zhí)行官匯報，都會影響他們?nèi)绾未_定安全需求的優(yōu)先級、如何溝通安全需求，以及最終他們獲得額外資金支持的速度。

“這可以指導(dǎo)日?；?，建立關(guān)系，幫助他們了解自己所在團(tuán)隊的需求，并能夠更快地保持一致。”Antos說道。

Antos認(rèn)為，如果這迫使CISO了解企業(yè)運(yùn)作的業(yè)務(wù)方面，那將是有幫助的?！斑@是從業(yè)務(wù)角度思考效率，而不是純粹從技術(shù)角度思考?！彼f道。

反過來，應(yīng)用業(yè)務(wù)思維有助于CISO實現(xiàn)預(yù)算目標(biāo)，并在日常安全運(yùn)營與包括董事會在內(nèi)的領(lǐng)導(dǎo)層的戰(zhàn)略目標(biāo)和優(yōu)先事項保持同步時獲得更大的滿意度。根據(jù)IANS報告，當(dāng)從業(yè)務(wù)風(fēng)險的角度考慮安全計劃時，領(lǐng)導(dǎo)這些計劃的CISO更有可能對預(yù)算感到滿意。

然而，安永(EY)全球及亞太區(qū)網(wǎng)絡(luò)安全咨詢負(fù)責(zé)人Richard Watson表示，在實際操作中，CISO可能會發(fā)現(xiàn)自己面臨一個關(guān)鍵的悖論。一方面，董事會可能表示對網(wǎng)絡(luò)風(fēng)險的興趣不大，但另一方面，管理層可能會說需要削減一定比例的預(yù)算?！斑@些幾乎是無法調(diào)和的立場，但我看到許多CISO正在為這一悖論而掙扎?！盬atson說道。

雖然首席財務(wù)官因其預(yù)算管理角色而成為關(guān)鍵利益相關(guān)者，但在這種情況下，Watson表示，CISO重要的是要突出這些相互矛盾的目標(biāo)，并尋求天然盟友的幫助，以爭取對預(yù)算的支持。

他建議，CISO可以與審計風(fēng)險委員會主席溝通，解釋這一悖論，因為如果管理層不聲明其運(yùn)營方式正在限制預(yù)算，董事會可能并不總是能看到這一點(diǎn)。“如果與審計風(fēng)險委員會主席溝通，這可以幫助CISO證明進(jìn)一步增加預(yù)算的合理性，或者為什么保持預(yù)算不變、不削減資金是一項要求?！彼嬖V記者。

在更廣泛的企業(yè)內(nèi)保持可見度

IANS報告指出，對預(yù)算滿意的CISO通常在領(lǐng)導(dǎo)層中具有可見度和可信度，參與風(fēng)險管理討論，并向董事會提供項目指標(biāo)，該報告建議，CISO必須在更廣泛的企業(yè)內(nèi)保持可見度并積極參與，同時圍繞業(yè)務(wù)風(fēng)險而非技術(shù)控制來構(gòu)建對話框架。

Watson同意，為了成功駕馭有影響力的、與資金相關(guān)的關(guān)系，CISO需要在更大企業(yè)范圍內(nèi)超越網(wǎng)絡(luò)和IT職能，提高自己的可見度?！八麄兛赡軓募夹g(shù)崗位起家，但要擴(kuò)展到IT部門之外，他們就需要被視為業(yè)務(wù)伙伴和業(yè)務(wù)顧問?！盬atson說道。

如Smartsheet的CISO Chris Peake所指出的，這不僅僅是關(guān)于CISO的可見度——而是幫助企業(yè)了解其面臨的網(wǎng)絡(luò)安全威脅的范圍。目標(biāo)是為圍繞優(yōu)先事項以及因此而產(chǎn)生的資金和預(yù)算決策提供背景。

“如果安全要成為業(yè)務(wù)的推動者，那么不僅僅是CISO和安全計劃需要可見度;威脅格局也需要對每個人都清晰明了。”Peake說道。

CISO的角色是在整個企業(yè)內(nèi)廣泛傳達(dá)這一信息，包括向高管層和董事會傳達(dá)，并將其與整體業(yè)務(wù)目標(biāo)相一致?！捌髽I(yè)的其他部門需要了解他們正面臨什么，這有助于他們?yōu)闆Q定優(yōu)先事項提供背景。”Peake說道。

雖然CISO熟練掌握財務(wù)知識并不總是自然而然的事情，但隨著更多對話開始考慮業(yè)務(wù)的財務(wù)方面，這一情況正在改變?！拔业拇蠖鄶?shù)同行都在討論預(yù)算，以及我們?nèi)绾螢樾录夹g(shù)融入企業(yè)提供資金和支持?！彼f道。

像GenAI這樣的新技術(shù)開辟了新的威脅載體，也引發(fā)了一些關(guān)于預(yù)算的對話，因為它們需要投資來管理和保障安全?！八鼈兛赡苄枰Y源，這就需要我們在如何部署現(xiàn)有工具方面采取新的視角?！彼f道。

盡管如此，在某些情況下，CISO在爭取某些項目獲得優(yōu)先考慮時會面臨挑戰(zhàn)，從而阻礙預(yù)算決策。

Antos表示，與關(guān)鍵利益相關(guān)者沒有關(guān)系，甚至關(guān)系緊張，都會產(chǎn)生原本不存在的障礙。“這可能導(dǎo)致對安全團(tuán)隊試圖做的事情產(chǎn)生誤解，或?qū)е洛e誤的假設(shè)、誤解或溝通不暢?！彼f道。

這些可能會阻礙預(yù)算分配，并導(dǎo)致解決方案或倡議從優(yōu)先事項列表中掉落，這強(qiáng)調(diào)了對項目重要性達(dá)成共識的重要性，這需要建設(shè)性的關(guān)系和一致的優(yōu)先事項。

“很多時候，安全部門的工作是由其他團(tuán)隊實施的，比如工程團(tuán)隊、開發(fā)人員或IT部門，因此，無論你想實施什么，都需要將其納入他們的工作隊列中作為優(yōu)先事項?！彼f道。

財務(wù)素養(yǎng)是影響資金關(guān)系的基礎(chǔ)

Watson表示，隨著企業(yè)面臨財務(wù)逆風(fēng)，這給CISO帶來了更大壓力，要求他們向包括首席財務(wù)官、首席執(zhí)行官和董事會在內(nèi)的利益相關(guān)者證明其預(yù)算的合理性?！按送?，美國證券交易委員會(SEC)披露的新要求正推動人們高度關(guān)注網(wǎng)絡(luò)風(fēng)險量化，因為重要性已成為一個真正關(guān)鍵的因素?！彼f道。

為了有力地應(yīng)對這些挑戰(zhàn)，CISO需要將網(wǎng)絡(luò)風(fēng)險與預(yù)算聯(lián)系起來，這就是為什么網(wǎng)絡(luò)風(fēng)險量化工具對于他們構(gòu)建有力的商業(yè)案例變得越來越重要。

“你如何證明某件事是否重要?你需要一個數(shù)學(xué)公式來做到這一點(diǎn)。網(wǎng)絡(luò)風(fēng)險量化現(xiàn)在正在企業(yè)內(nèi)掀起一股熱潮，這既是藝術(shù)也是科學(xué)?！彼f道。

對于小型企業(yè)以及那些沒有聘請咨詢公司的企業(yè)，Antos建議他們利用ISACA或IANS的工具和資源來構(gòu)建風(fēng)險分析和預(yù)算編制流程。“這些工具提供了指導(dǎo)和材料，幫助安全團(tuán)隊在內(nèi)部培養(yǎng)必要的財務(wù)素養(yǎng)和預(yù)算編制流程?！彼f道。

ISACA的能力成熟度模型集成(CMMI)框架有助于成本控制和基于風(fēng)險的預(yù)算編制策略。根據(jù)2023年CMMI技術(shù)報告，使用該框架的企業(yè)成本差異減少了47%。

對于Antos而言，信息系統(tǒng)和會計學(xué)的學(xué)位有助于她彌合CISO角色中的技術(shù)和財務(wù)方面，她強(qiáng)調(diào)，了解財務(wù)語言并傳達(dá)安全投資的業(yè)務(wù)價值，可以顯著增強(qiáng)CISO在談判預(yù)算時的地位。

對于CISO而言，財務(wù)素養(yǎng)不再是可選的——它是與利益相關(guān)者互動并為安全投資構(gòu)建商業(yè)案例所必需的。

了解預(yù)算編制流程并傳達(dá)安全的業(yè)務(wù)價值，使CISO能夠彌合技術(shù)要求和企業(yè)優(yōu)先事項之間的差距，確保他們獲得所需的資源。

在實際操作中，關(guān)于安全需求的對話，特別是涉及大型項目時，需要盡早開始，并解釋它將如何影響業(yè)務(wù)。

“提前準(zhǔn)備好所有這些要比在預(yù)算編制過程中嘗試做這件事容易得多。”她說道。