在確保網絡安全投資方面,有許多因素在起作用。關鍵往往在于CISO能否與企業內的關鍵利益相關者建立關系,然而,CISO們面臨著在預算有限的情況下保護企業的任務。
盡管近三分之二的CISO報告稱預算有所增加,但根據IANS 2024年安全預算基準摘要報告,今年的平均資金增幅僅為8%,遠低于前一年的增長水平。
在預算受限的情況下,CISO能否獲得足夠的資金取決于他們在企業內的影響力和聲譽。與關鍵業務領導者建立牢固關系對于實現預算目標至關重要。
從開發人員到首席財務官:如何建立信任
TriNetX的CISO Erica Antos非常重視建立強大的跨職能合作伙伴關系,這些關系不僅能推動安全舉措,還能與企業的整體目標保持一致。她認為,相鄰的業務職能是合作與協同的重要伙伴。
在她的工作中,這包括了解首席財務官的優先事項,與法律部門合作確保滿足數據保護要求,并與IT和工程部門緊密合作,使安全工具與更廣泛的企業需求相契合。“你需要了解他們的目標是什么,并找出安全部門也能使用的、有助于實現雙方目標的工具。”Antos說道。
例如,零信任解決方案將有助于IT部門實現網絡訪問的現代化,并消除對VPN的需求。隱私要求可能涉及總法律顧問和通過數據保護實現的安全。為此,她建議與法律部門溝通他們的需求,以及安全部門能否提供任何工具來幫助他們實現目標。
在其他情況下,這可能涉及工程部門,與開發人員合作,并與首席技術官就代碼審查或安全警報等事項進行溝通。“你可以采用安全部門可能使用的安全事件信息管理系統解決方案,該解決方案也可以進行部署,以幫助工程團隊。”她告訴記者。
當然,與財務部門建立良好的關系至關重要,這包括了解他們的目標,并展示安全舉措如何有助于實現這些目標或節約成本。
“這可能不是與財務部門合作部署某種工具或為某事爭取預算,而是展示效率,或部署某些工具如何節省X美元。”Antos說道。
CISO的匯報線對預算和關系的影響
CISO基于其匯報線與某些利益相關者的親近程度,也會影響他們與關鍵業務領導者保持一致的能力。CISO向首席財務官、CIO或直接向首席執行官匯報,都會影響他們如何確定安全需求的優先級、如何溝通安全需求,以及最終他們獲得額外資金支持的速度。
“這可以指導日常互動,建立關系,幫助他們了解自己所在團隊的需求,并能夠更快地保持一致。”Antos說道。
Antos認為,如果這迫使CISO了解企業運作的業務方面,那將是有幫助的。“這是從業務角度思考效率,而不是純粹從技術角度思考。”她說道。
反過來,應用業務思維有助于CISO實現預算目標,并在日常安全運營與包括董事會在內的領導層的戰略目標和優先事項保持同步時獲得更大的滿意度。根據IANS報告,當從業務風險的角度考慮安全計劃時,領導這些計劃的CISO更有可能對預算感到滿意。
然而,安永(EY)全球及亞太區網絡安全咨詢負責人Richard Watson表示,在實際操作中,CISO可能會發現自己面臨一個關鍵的悖論。一方面,董事會可能表示對網絡風險的興趣不大,但另一方面,管理層可能會說需要削減一定比例的預算。“這些幾乎是無法調和的立場,但我看到許多CISO正在為這一悖論而掙扎。”Watson說道。
雖然首席財務官因其預算管理角色而成為關鍵利益相關者,但在這種情況下,Watson表示,CISO重要的是要突出這些相互矛盾的目標,并尋求天然盟友的幫助,以爭取對預算的支持。
他建議,CISO可以與審計風險委員會主席溝通,解釋這一悖論,因為如果管理層不聲明其運營方式正在限制預算,董事會可能并不總是能看到這一點。“如果與審計風險委員會主席溝通,這可以幫助CISO證明進一步增加預算的合理性,或者為什么保持預算不變、不削減資金是一項要求。”他告訴記者。
在更廣泛的企業內保持可見度
IANS報告指出,對預算滿意的CISO通常在領導層中具有可見度和可信度,參與風險管理討論,并向董事會提供項目指標,該報告建議,CISO必須在更廣泛的企業內保持可見度并積極參與,同時圍繞業務風險而非技術控制來構建對話框架。
Watson同意,為了成功駕馭有影響力的、與資金相關的關系,CISO需要在更大企業范圍內超越網絡和IT職能,提高自己的可見度。“他們可能從技術崗位起家,但要擴展到IT部門之外,他們就需要被視為業務伙伴和業務顧問。”Watson說道。
如Smartsheet的CISO Chris Peake所指出的,這不僅僅是關于CISO的可見度——而是幫助企業了解其面臨的網絡安全威脅的范圍。目標是為圍繞優先事項以及因此而產生的資金和預算決策提供背景。
“如果安全要成為業務的推動者,那么不僅僅是CISO和安全計劃需要可見度;威脅格局也需要對每個人都清晰明了。”Peake說道。
CISO的角色是在整個企業內廣泛傳達這一信息,包括向高管層和董事會傳達,并將其與整體業務目標相一致。“企業的其他部門需要了解他們正面臨什么,這有助于他們為決定優先事項提供背景。”Peake說道。
雖然CISO熟練掌握財務知識并不總是自然而然的事情,但隨著更多對話開始考慮業務的財務方面,這一情況正在改變。“我的大多數同行都在討論預算,以及我們如何為新技術融入企業提供資金和支持。”他說道。
像GenAI這樣的新技術開辟了新的威脅載體,也引發了一些關于預算的對話,因為它們需要投資來管理和保障安全。“它們可能需要資源,這就需要我們在如何部署現有工具方面采取新的視角。”他說道。
盡管如此,在某些情況下,CISO在爭取某些項目獲得優先考慮時會面臨挑戰,從而阻礙預算決策。
Antos表示,與關鍵利益相關者沒有關系,甚至關系緊張,都會產生原本不存在的障礙。“這可能導致對安全團隊試圖做的事情產生誤解,或導致錯誤的假設、誤解或溝通不暢。”她說道。
這些可能會阻礙預算分配,并導致解決方案或倡議從優先事項列表中掉落,這強調了對項目重要性達成共識的重要性,這需要建設性的關系和一致的優先事項。
“很多時候,安全部門的工作是由其他團隊實施的,比如工程團隊、開發人員或IT部門,因此,無論你想實施什么,都需要將其納入他們的工作隊列中作為優先事項。”她說道。
財務素養是影響資金關系的基礎
Watson表示,隨著企業面臨財務逆風,這給CISO帶來了更大壓力,要求他們向包括首席財務官、首席執行官和董事會在內的利益相關者證明其預算的合理性。“此外,美國證券交易委員會(SEC)披露的新要求正推動人們高度關注網絡風險量化,因為重要性已成為一個真正關鍵的因素。”他說道。
為了有力地應對這些挑戰,CISO需要將網絡風險與預算聯系起來,這就是為什么網絡風險量化工具對于他們構建有力的商業案例變得越來越重要。
“你如何證明某件事是否重要?你需要一個數學公式來做到這一點。網絡風險量化現在正在企業內掀起一股熱潮,這既是藝術也是科學。”他說道。
對于小型企業以及那些沒有聘請咨詢公司的企業,Antos建議他們利用ISACA或IANS的工具和資源來構建風險分析和預算編制流程。“這些工具提供了指導和材料,幫助安全團隊在內部培養必要的財務素養和預算編制流程。”她說道。
ISACA的能力成熟度模型集成(CMMI)框架有助于成本控制和基于風險的預算編制策略。根據2023年CMMI技術報告,使用該框架的企業成本差異減少了47%。
對于Antos而言,信息系統和會計學的學位有助于她彌合CISO角色中的技術和財務方面,她強調,了解財務語言并傳達安全投資的業務價值,可以顯著增強CISO在談判預算時的地位。
對于CISO而言,財務素養不再是可選的——它是與利益相關者互動并為安全投資構建商業案例所必需的。
了解預算編制流程并傳達安全的業務價值,使CISO能夠彌合技術要求和企業優先事項之間的差距,確保他們獲得所需的資源。
在實際操作中,關于安全需求的對話,特別是涉及大型項目時,需要盡早開始,并解釋它將如何影響業務。
“提前準備好所有這些要比在預算編制過程中嘗試做這件事容易得多。”她說道。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號