每位首席安全執行官都知道,其工作中最重要(或許也是最具挑戰性)的方面之一是獲得支持網絡安全計劃所需的資金。企業負責制定預算的主管通常是首席財務官,因此首席信息安全官需要了解與首席財務官更好地進行互動的最佳方式。
馬里蘭州政府首席信息安全官Arthur Treichel表示:“首席財務官/財務主管和首席信息安全官的關系對于了解企業如何衡量成功至關重要,這有助于首席信息安全官如何更好地衡量和傳達其面臨的網絡威脅。”
以下是企業的首席信息安全官在與首席財務官合作時的一些最佳實踐:
1.掌握首席財務官的語言
研究機構IDC公司安全與信任項目副總裁Frank Dickson表示,首席信息安全官在描述網絡安全帶來的威脅時,喜歡使用與網絡安全活動相關的指標。其中包括諸如處理的警報數量、平均響應時間、平均修復時間和停留時間等指標。
這些是首席財務官不太可能感興趣的內容,因此首席信息安全在與首席財務官的討論中談到這些概念毫無意義。Dickson說,“首席財務官希望了解與風險和安全狀況相關的指標,在本質上,首席財務官想知道企業的業務是否‘安全’。傳達安全活動的威脅信息讓首席財務官感到沮喪,因為他們沒有獲得想要的信息。”
Dickson說,明智的一個做法是讓首席信息安全官和首席財務官一起來建立一套傳達所需信息的指標。他說,“這并不意味著首席信息安全官會向首席財務官教授所有關于網絡安全的知識,而是意味著首席信息安全官改變與首席財務官溝通的方式。”
風險投資商YLVentures公司的運營合伙人、前首席安全官Andy Ellis表示,對于企業的安全主管來說,與首席財務官進行溝通有時會讓人覺得是一種挑戰。“首席財務官似乎掌握著一個完全是記錄真實數據的領域。另一方面,首席信息安全官通常采用專業的術語談論風險,因此他們要掌握首席財務官的語言,改變與首席財務官溝通的方式。”
2.利用數據豐富的經濟模型來量化風險
首席信息安全官應盡可能使用經濟模型向首席財務官解釋網絡威脅帶來的風險。人力資本管理產品提供商Paychex公司副總裁兼首席信息安全官Bradley Schaufenbuel表示,采用經濟信息風險模型,例如FAI RInstitute的信息風險因素分析(FAIR),首席信息安全官可以用財務術語來表達網絡安全的風險,首席財務官以及其他執行團隊和董事會將會很容易理解。采用經濟模型來量化信息風險具有額外的好處,可以確保優先考慮降低最有影響的風險,并優化網絡安全支出,這最終是首席財務官想要首席信息安全官提供的信息。
他說,“經濟模型應該有豐富的數據。由于他們的工作性質,大多數首席財務官都會做出數據驅動的決策,而數據比主觀意見或預感更客觀,更難以操縱。在提高向首席財務官以及其他企業高管傳達信息的有效性方面,可以采取的最好方法之一是采用相關數據支持提出的觀點。”
3.定期溝通
一旦首席信息安全官掌握了首席財務官的語言,定期溝通是明智之舉。頻繁的互動有助于讓首席財務官了解最新的網絡安全威脅、漏洞、工具、標準等,并使首席信息安全官了解企業的財務/預算情況。
鑒于安全形勢瞬息萬變,新威脅不斷出現,新解決方案進入市場,這一點尤其如此。Dickson說,“溝通需要主動和頻繁,但也要簡潔明了。”他表示,首席財務官對于成為網絡安全專家不感興趣,他們只想確保企業的業務受到安全保護,并且想了解企業面臨的風險狀況。
4.學習一些財務知識
僅僅使用財務模型來傳達網絡安全的價值是不夠的;首席信息安全官需要了解財務部門的運作方式,以便與首席財務官有效合作。Schaufenbuel說,“首席信息安全官需要具備財務知識。如果不了解損益表和資產負債表之間的區別以及運營費用和資本投資之間的細微差別,那么將很難獲得企業高管的尊重,尤其是首席財務官。”
Schaufenbuel表示,首席信息安全官獲得MBA學位將會成為對自己職業發展的最佳投資。他說,“在沒有金融領域學位的情況下,了解一些基本會計和財務概念要比試圖在沒有金融知識的情況下為企業高管進行解釋要好得多。”
當然,首席信息安全官可以幫助對財務主管及其團隊進行基本安全問題的教育,而不會陷入困境。Treichel說,“在某些情況下,對首席信息安全官來說,與首席財務官或財務主管達成最佳合作關系始于安全事件。因為財務部門是網絡攻擊者理想的目標,而針對可以授權交易的員工的網絡釣魚和惡意軟件活動非常普遍。首席信息安全官可以花費更多時間教育財務部門的員工并與他們合作來降低風險,并與首席財務官建立更好的合作關系。”
5.了解預算流程
在大多數企業中,首席財務官無法控制額外的預算。Ellis表示,他們需要控制預算過程。他說,“這是一個微妙但十分重要的過程。如果企業有一個年度預算周期,其年度預算在當年11月之前確定,那么起草預算的過程將會持續數月。如果在11月提出新的預算請求,那么將會遭到拒絕,無論其需求有多重要。”
他表示,很多企業因為意外而推遲了一些預算,在流程之外工作,那么可能會讓一些人的工作陷入困境。
當首席信息安全官由于一些意外的緊迫性而必須在流程之外工作時,他們需要了解這造成的困難,并了解他們是否可以提供幫助。Ellis說,“一個部門如果需要獲得計劃之外的資金,那么很可能擠占其他部門的預算。”
6.不要忽視計劃
良好的網絡安全規劃本身就很重要,但對于與首席財務官和其他財務主管打交道來說尤其重要。Dickson說,“首席財務官最不希望看到的是財政年度結束時出現的意外開支。”
定期更新計劃是一個好主意,其中包括與安全工具和服務的新投資相關的任何內容。企業還需要做好未來的規劃。Dickson表示,典型的12個月IT規劃周期已不再選用。他說,“企業的IT規劃需要成為持續數年的長久規劃,并且要涵蓋IT和安全領域。”
Dickson表示,多年規劃不僅可以提高安全的有效性,還可以增加可預測性。他說,“這樣做的話,意外開支的威脅將顯著減少,即使出現意外支出,首席財務官可以為此做好準備。”
7.主觀和客觀分析相分離
Ellis說,“除了欺詐等少數狹隘領域外,幾乎所有的安全分析都是主觀的。即使是表面上的定量方法實際上也只是主觀分析。”
Ellis表示,這并不是安全團隊獨有的。財務團隊的預測通常包含一些主觀性。但具有主觀性的財務分析通常會被調用、仔細識別并在事后檢查是否不準確。
另一方面,安全猜測很少用于批判性分析。他說,“首席信息安全官談論安全投資的回報時,會使用憑空猜測的可能性,然后在沒有出現問題的情況下獲得信任,而如果出現問題則將責任歸咎于他人。首席信息安全官在與首席財務官交談時,承認預測中的猜測是對話的開始,并且不要夸大預測能力。首席信息安全官需要掌握與首席財務官會話的技巧,這樣就會讓首席財務官成為對其面臨的挑戰更有同情心的合作伙伴。”
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號