雖然這聽起來像是CISO夢想成真，但這并不意味著董事會會突然放開預(yù)算。對股東負(fù)責(zé)的董事會和高管將始終高度關(guān)注利潤。只是現(xiàn)在，隨著責(zé)任的臨近，他們需要準(zhǔn)確的、基于風(fēng)險的資金申請，以限定需求、總擁有成本、有效性、違規(guī)風(fēng)險敞口和可能性，以及發(fā)生違規(guī)時的業(yè)務(wù)成本。

 

NACD網(wǎng)絡(luò)風(fēng)險特別顧問克里斯·赫特納告訴記者，傳統(tǒng)上，CISO沒有很好地與董事會溝通這些信息。赫特納也是納斯達(dá)克卓越董事會中心的理事會成員，他指出，SEC 7月份更新的網(wǎng)絡(luò)風(fēng)險管理規(guī)則涉及高級領(lǐng)導(dǎo)人的違規(guī)行為。他表示，董事會對風(fēng)險的責(zé)任正在逐漸加深，其結(jié)果是，董事會正在團(tuán)結(jié)起來應(yīng)對網(wǎng)絡(luò)威脅。

 

Hetner繼續(xù)說，這一趨勢肯定會影響CISO闡明其安全項目資金需求的方式。“作為一名投資者，我需要知道與其他任何風(fēng)險相比，你是如何對待這一風(fēng)險的，以及它為什么重要。將這一點與CISO帶來的高度技術(shù)性指標(biāo)和董事會不理解的報告相比較，你會看到其中的脫節(jié)。你想要準(zhǔn)備一份量身定做的、專注于商業(yè)的網(wǎng)絡(luò)風(fēng)險報告，最好是每季度一次，將技術(shù)指標(biāo)轉(zhuǎn)換為可理解的、與業(yè)務(wù)一致的指標(biāo)。然后，你就可以拿到資金。”

 

 

當(dāng)談到資金申請時，CISO不應(yīng)該在真空中運作。赫特納建議在董事會和高管團(tuán)隊中尋找盟友，包括CFO和CEO。這些人可以幫助CISO了解圍繞他們的資金請求來框定他們的資金請求的業(yè)務(wù)風(fēng)險，并且通常是簽署這些請求的同一人。他還建議在采購方面接觸其他有影響力的人，以及將從資金申請中受益的業(yè)務(wù)部門。

 

華盛頓州溫哥華診所的CISO邁克爾·布雷(Michael Bray)的關(guān)鍵戰(zhàn)略是尋找盟友。到目前為止，他一直在教育董事會和CEO在網(wǎng)絡(luò)風(fēng)險和融資方面的受托責(zé)任。“誰承擔(dān)風(fēng)險?”他問。董事會是這樣做的。他們還根據(jù)標(biāo)準(zhǔn)的業(yè)務(wù)運營，規(guī)定風(fēng)險偏好，為安全最佳實踐和支出要求提供戰(zhàn)略指導(dǎo)、監(jiān)督和治理。這延伸到了解風(fēng)險評估和緩解戰(zhàn)略，以保護(hù)資產(chǎn)和利益相關(guān)者，以及持續(xù)的合規(guī)努力，以及事件響應(yīng)，他在向董事會發(fā)言時將其稱為“違規(guī)管理”。

 

Bray努力與董事會成員和高管定期和臨時舉行會議。例如，除了每周一次的“分級信息”會議外，他還領(lǐng)導(dǎo)著與董事會的季度預(yù)算討論。他補充說，他還與指導(dǎo)委員會打成一片——其中一些委員會的董事會成員最終成為了他的代言人。

 

為了加深聯(lián)盟并在產(chǎn)業(yè)鏈上分享知識，他會與高管們進(jìn)行短暫的短途旅行，吃午飯，或參加異地行業(yè)會議，或參加酷炫的黑客活動或令人大開眼界的演示。“想辦法把那些看似無關(guān)、與預(yù)算沒有直接關(guān)系的話題列入他們的日程表，”他解釋道。由于這些關(guān)系，當(dāng)我們有即興的關(guān)鍵請求時，我們已經(jīng)百分之百地支持了我們所請求的資金。

 

例如，在10月份，布雷向他的領(lǐng)導(dǎo)團(tuán)隊簡要介紹了以色列與哈馬斯恐怖企業(yè)的戰(zhàn)爭對他們行動的潛在影響。他說，他的公司在其投資組合中有幾個以色列支持的安全平臺，他讓高管們意識到了這一點。他提供了準(zhǔn)備就緒的備用替代方案，以及他們需要走這條路線的預(yù)計成本。

 

 

IANS Research報告稱，IT安全預(yù)算在2022年和2023年停滯不前并大幅削減。Cyber Point Consulting創(chuàng)始人兼CEO DD Budiharto曾在德克薩斯州幾家不同的石油和天然氣公司擔(dān)任CISO，他指出，在這種環(huán)境下，在解決方案的生命周期內(nèi)證明支出效率與風(fēng)險降低和總擁有成本之間的關(guān)系是獲得資金申請獲得批準(zhǔn)的關(guān)鍵。

 

Budiharto指出，雖然可報告的ROI在網(wǎng)絡(luò)安全支出中相對聞所未聞，但可以通過降低風(fēng)險來量化額外的收益、成本降低和損失避免。例如，在不久前申請資金實施新的SIEM解決方案時，她必須克服SIEM僅用于安全警報的誤解。

 

她解釋說：“我告訴他們，盡管資金來自安全預(yù)算，但總體來說，這對業(yè)務(wù)運營是有益的。我們展示了SIEM如何監(jiān)控基礎(chǔ)設(shè)施服務(wù)器和網(wǎng)絡(luò)運行狀況，因此基礎(chǔ)設(shè)施團(tuán)隊在排除網(wǎng)絡(luò)異常時可以更靈敏、更準(zhǔn)確、更快。”

 

Budiharto繼續(xù)說，在申請資金時，計算總擁有成本(TCO)對于溝通更加重要。她指出：“我的建議中通常包含一個端到端的模式，從選擇要求到運維、折舊和攤銷、持續(xù)的許可費、人際交往技能以及覆蓋整個解決方案生命周期的保修。”“我邀請所有利益相關(guān)者坐到談判桌前，征求他們的要求和意見，然后再提出購買選項。這種盡職調(diào)查也適用于董事會提出的支出請求。”

 

 

接受風(fēng)險是董事會的特權(quán)。因此，Budiharto建議CISO計算并傳達(dá)不實施解決方案的成本，包括違規(guī)或暴露的可能性，以及如果資金請求被拒絕，此類違規(guī)或暴露的全部財務(wù)影響(從直接損失到清理成本)。“對于首席財務(wù)官來說，這些節(jié)省的成本應(yīng)該遠(yuǎn)遠(yuǎn)超過實施和管理解決方案的總擁有成本，”她補充道。

 

綜上所述，她描述了一種情況，需要在現(xiàn)有的EDR中添加一個新的解決方案，以阻止勒索軟件在其軌道上運行，殺死它，并比現(xiàn)有的EDR更快、更徹底地補救它。布迪哈托解釋說：“董事會會問，‘這與利潤有什么關(guān)系?’所以，我計算了生產(chǎn)率和業(yè)務(wù)損失的收入損失，并將其乘以在當(dāng)前EDR系統(tǒng)下試圖解決勒索軟件攻擊的平均天數(shù)。”“這些類型的比較將幫助董事會看到大局，包括你的解決方案將如何幫助避免這筆巨額支出。”

 

 

對于每個企業(yè)來說，如果發(fā)生最糟糕的情況，董事會愿意承擔(dān)的費用有多大是不同的，這取決于業(yè)務(wù)類型和相關(guān)的風(fēng)險承受能力;以及網(wǎng)絡(luò)保險賠付、數(shù)據(jù)敏感性和監(jiān)管格局等緩解因素。

 

納斯達(dá)克的赫特納解釋說，這就是他認(rèn)為首席財務(wù)官和董事會之間最常見的脫節(jié)之處，因為首席財務(wù)官對風(fēng)險沒有容忍度，而董事會通常會容忍風(fēng)險。對此，他指出，NACD的網(wǎng)絡(luò)風(fēng)險報告服務(wù)是一個第三方風(fēng)險計算平臺，他表示，該平臺有助于將技術(shù)需求轉(zhuǎn)化為企業(yè)風(fēng)險，并可以幫助首席信息官傳達(dá)與企業(yè)風(fēng)險門檻相比最有可能造成最高財務(wù)和聲譽損失的網(wǎng)絡(luò)威脅，包括補救和修復(fù)成本。

 

付費服務(wù)由安全創(chuàng)新公司開發(fā)的X-Analytics平臺提供支持。安全系統(tǒng)公司運營副總裁凱爾·弗格森在展示該平臺時表示：“當(dāng)我們?yōu)槭紫畔⒐俑缕脚_，以了解和溝通企業(yè)面臨網(wǎng)絡(luò)風(fēng)險的情況時，最強(qiáng)大的用例之一是董事會報告，以實現(xiàn)對董事的網(wǎng)絡(luò)風(fēng)險監(jiān)督。”

 

在演示的基礎(chǔ)上，該工具自動化了本文中討論的許多步驟，并根據(jù)公司的風(fēng)險容忍度對它們進(jìn)行評分，這是CISO試圖使用電子表格和計算器手動完成的過程。弗格森說，可視化和地圖繪制有助于各方可視化地了解哪里和哪里不應(yīng)該應(yīng)用資源。“成功并不總是意味著更多的資金，”他補充道。“成功可能是善用你擁有的預(yù)算，把錢花在對企業(yè)真正重要的事情上。”

 

 

國內(nèi)主流的to B IT門戶，同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需在文章開頭注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。