即便身處攻擊頻發的時代，這樣的數據也會促使“網絡安全作為成本中心”的概念進一步深化。與此同時，這也可能導致CISO與其高管同事產生分歧，讓其他高管領導人對從網絡安全投資中獲得的實際回報率倍感沮喪和困惑。

 

培訓機構Cyber Leadership Institute首席執行官Phil Zongo表示，“許多商業領袖現在熱衷于參與網絡轉型，但他們發現晦澀難懂的安全術語以及徒勞的指標總是令人深感沮喪。這讓他們搞不清針對其業務的主要威脅、現有防御的強度或是需要進行哪些投資。他們覺得自己投入的資金如同石沉大海，因為網絡安全團隊很難將舉措的價值轉化為業務語言：金錢。”

 

不過，即便安全預算逐年增加，精明的CISO們已經找到方法擺脫“網絡安全作為成本中心”的觀念，他們是如何做到的呢?方法就是通過證明安全性不僅對業務成功至關重要，而且與其保護的數字基礎設施和數據資產一樣，也是業務發展的一種推動因素和競爭優勢。

 

沒有一種方法可以徹底消除“安全是成本中心”的觀念，但通過采取下述5種策略可以幫助CISO讓其他人將安全視為“價值中心”。

 

 

Russell Reynolds Associates首席信息安全官Ahmed Jamil有句格言“不能衡量，就無法管理”，其提倡的想法是，你無法改進自己不知道和不理解的東西。

 

他解釋稱，“有時候，第一步要做的就是了解。你必須了解最高管理層和董事會對你的看法。”這是一個需要進行一些反思的步驟，以確定作為CISO的您是否被視為“致力于制定政策和戰略的完整執行合伙人”，或者“安全是否仍然是事后考慮事項等等。

 

CISO們習慣表達“這就是在當前網絡形勢下，我們為確保企業安全所做的一切”。他們會向董事會展示“關于這項工作”的指標，但他們不會展示即將發生的事情。然而，CISO需要用商業術語來表達他們如何看待即將到來的事情，他們需要更主動地表明安全是創新中心，就像數字分析一樣。

 

 

Zongo建議CISO“堅持不懈地關注利益相關者的參與情況”。

 

他解釋稱，“沒有高管支持，任何重大轉型計劃都無法成功，網絡安全也不例外。盡早讓關鍵部門的利益相關者參與進來，并將他們的觀點融入戰略。當重要高管從一開始就投入其中的話，他們可能會全力支持網絡轉型計劃。”

 

為此，CISO必須建立一個跨職能的網絡風險委員會，由來自業務風險、法律、技術、產品開發、采購和財務的高級利益相關者組成。網絡風險委員會為高層定下正確的基調，批準網絡安全戰略，并確保該職能得到充足的資金和良好的支持。

 

然而，一些CISO在充分參與業務的能力方面將面臨挑戰，許多CISO仍然需要向CIO報告。根據獵頭公司Heidrick & Struggles發布的《2021年全球首席信息安全官調查報告》發現，38% 的CISO向CIO報告，只有11%直接向CEO報告。這種報告結構無疑削弱了CISO直接參與業務的能力。

 

Home Access Health公司IT副總裁兼安全官Pam Nigro表示，當CISO能夠充分考慮企業整體目標時，他們所做的事情才能獲得更多認同，并獲得更多的支持。例如，如果CISO的美國公司想要擴展到歐洲市場，CISO必須了解并闡明安全職能將如何通過滿足歐洲隱私法規和安全要求來實現企業業務目標，而不是去詳細說明如何保護技術基礎設施。

 

 

近年來，一連串備受矚目且影響深遠的網絡事件使網絡安全成為董事會的頭等大事。隨著相關法規相繼出臺，以及消費者對該領域的期望上升，董事會也日益關注安全性。

 

JWC Partners 《2021年公司董事會調查報告》發現，安全在董事會最關心的問題列表中排名第3，緊跟在“公司戰略”和“CEO/領導層繼任”問題之后。然而，與此同時，談到對該主題的理解，許多董事會成員卻表現得不是特別有信心。

 

普華永道公布的調查結果顯示，只有33%的受訪董事成員表示他們“非常了解”公司的網絡安全漏洞，53%的人表示他們只是“有點”了解這些漏洞，13%的受訪者將他們的理解列為“不太了解”，只有1%的人承認他們根本不了解。

 

很長一段時間來，CISO一直苦惱于他們的信息被置若罔聞，他們的預算資金嚴重不足，他們被視為系統管理員。如今，董事會對網絡安全的興趣日益濃厚，這無疑為CISO提供了機會。

 

但Zongo建議CISO不要只關注可能出錯的地方：恐嚇強化了舊觀念，即安全職能是一種類似于保險的成本。

 

軟件公司Aquia CISO兼聯合創始人Chris Hughes認為，“CISO應該從利用恐懼、不確定性和懷疑的陳舊策略，轉變為關于網絡安全可能對業務以及更廣泛的利益相關者產生影響的正面信息。網絡安全事件可能會對財務、監管和聲譽等方面產生負面影響。雖然提醒您的業務同行注意這一點很重要，但它也會帶來副作用。相反地，我們可以將信息轉化為強大的網絡安全態勢會使企業安全運行，為客戶和利益相關者創造最大價值，甚至成為市場同行間的關鍵差異化因素。總而言之，CISO應該展示的是通過避免網絡安全事件將如何促進業務增長的正面信息。”

 

 

KPMG網絡風險和威脅情報負責人Fred Rica表示，通過展示安全能夠為企業帶來的價值，同樣能夠幫助CISO擺脫成本中心觀念。

 

Rica將安全定位為“確保企業安全快速前行的剎車裝置”，而不是“減緩或關閉一切的緊急杠桿”。當然，你可以在沒有剎車的情況下駕駛車輛，但我想結果一定不是你想要的，或者能夠承受的。

 

因此，CISO應該強調安全性如何讓客戶與企業快速無縫地互動，讓他們知道如果出現問題，“剎車裝置”將能確保他們的安全。

 

而且，聰明的CISO知道如何表達和量化這一點。身為ISACA董事會副主席的Nigro承認，將安全性轉化為實際價值對CISO來說極具挑戰性。不過，即便再艱難，CISO也應該這樣做。她表示，“量化正在發生的事情，而不是自己消耗的成本，才是高管們和董事會成員想要看到的。”

 

此外，她還建議CISO與他們的財務同事合作，培養完成任務所需的技能;她自己就是依靠一位精算師同事來學習如何量化她的安全職能貢獻值。

 

Nigro曾在一家保險公司工作，該公司試圖通過平價醫療法案(Affordable Care Act)交易所提供保險;她計算了提供參與所需的安全性成本，以及如果她的公司在參與截止日期前沒有準備好必要的安全性，來年將會損失的收入。這使她能夠從財務角度展示安全的價格如何與參與該計劃帶來的潛在收益相形見絀。

 

 

CompTIA首席技術布道師James Stanger表示，將所有這些戰略結合在一起的CISO能夠將其企業的安全性定位為競爭優勢，這不僅能夠支持公司的敏捷性，而且實際上對公司的快速響應能力至關重要。

 

他解釋稱，“如今的CISO更具戰略意義，他們應該是為組織的成功奠定基礎的人。傳統的想法是CISO旨在確保公司免遭黑客攻擊。現在，CISO已經成為擴大業務的推動者。”

 

今天的CISO必須積極塑造企業內其他人對他們及其安全團隊的看法;他們需要與業務職能負責人合作;他們還必須能夠評估和闡明風險，并使用這些來評估安全的價值;他們擅長將安全視為業務運營的基礎;他們知道如何證明安全其實是“機會中心”，而非“成本中心”。

 

版權聲明：本文為企業網D1Net編譯，轉載需注明出處為：企業網D1Net，如果不注明出處，企業網D1Net將保留追究其法律責任的權利。