确保网络安全投资不仅仅关乎数字运算,更在于培养跨职能关系。对于CISO而言,争取关键利益相关者的支持将有助于获得关键资金。
在确保网络安全投资方面,有许多因素在起作用。关键往往在于CISO能否与企业内的关键利益相关者建立关系,然而,CISO们面临着在预算有限的情况下保护企业的任务。
尽管近三分之二的CISO报告称预算有所增加,但根据IANS 2024年安全预算基准摘要报告,今年的平均资金增幅仅为8%,远低于前一年的增长水平。
在预算受限的情况下,CISO能否获得足够的资金取决于他们在企业内的影响力和声誉。与关键业务领导者建立牢固关系对于实现预算目标至关重要。
从开发人员到首席财务官:如何建立信任
TriNetX的CISO Erica Antos非常重视建立强大的跨职能合作伙伴关系,这些关系不仅能推动安全举措,还能与企业的整体目标保持一致。她认为,相邻的业务职能是合作与协同的重要伙伴。
在她的工作中,这包括了解首席财务官的优先事项,与法律部门合作确保满足数据保护要求,并与IT和工程部门紧密合作,使安全工具与更广泛的企业需求相契合。“你需要了解他们的目标是什么,并找出安全部门也能使用的、有助于实现双方目标的工具。”Antos说道。
例如,零信任解决方案将有助于IT部门实现网络访问的现代化,并消除对VPN的需求。隐私要求可能涉及总法律顾问和通过数据保护实现的安全。为此,她建议与法律部门沟通他们的需求,以及安全部门能否提供任何工具来帮助他们实现目标。
在其他情况下,这可能涉及工程部门,与开发人员合作,并与首席技术官就代码审查或安全警报等事项进行沟通。“你可以采用安全部门可能使用的安全事件信息管理系统解决方案,该解决方案也可以进行部署,以帮助工程团队。”她告诉记者。
当然,与财务部门建立良好的关系至关重要,这包括了解他们的目标,并展示安全举措如何有助于实现这些目标或节约成本。
“这可能不是与财务部门合作部署某种工具或为某事争取预算,而是展示效率,或部署某些工具如何节省X美元。”Antos说道。
CISO的汇报线对预算和关系的影响
CISO基于其汇报线与某些利益相关者的亲近程度,也会影响他们与关键业务领导者保持一致的能力。CISO向首席财务官、CIO或直接向首席执行官汇报,都会影响他们如何确定安全需求的优先级、如何沟通安全需求,以及最终他们获得额外资金支持的速度。
“这可以指导日常互动,建立关系,帮助他们了解自己所在团队的需求,并能够更快地保持一致。”Antos说道。
Antos认为,如果这迫使CISO了解企业运作的业务方面,那将是有帮助的。“这是从业务角度思考效率,而不是纯粹从技术角度思考。”她说道。
反过来,应用业务思维有助于CISO实现预算目标,并在日常安全运营与包括董事会在内的领导层的战略目标和优先事项保持同步时获得更大的满意度。根据IANS报告,当从业务风险的角度考虑安全计划时,领导这些计划的CISO更有可能对预算感到满意。
然而,安永(EY)全球及亚太区网络安全咨询负责人Richard Watson表示,在实际操作中,CISO可能会发现自己面临一个关键的悖论。一方面,董事会可能表示对网络风险的兴趣不大,但另一方面,管理层可能会说需要削减一定比例的预算。“这些几乎是无法调和的立场,但我看到许多CISO正在为这一悖论而挣扎。”Watson说道。
虽然首席财务官因其预算管理角色而成为关键利益相关者,但在这种情况下,Watson表示,CISO重要的是要突出这些相互矛盾的目标,并寻求天然盟友的帮助,以争取对预算的支持。
他建议,CISO可以与审计风险委员会主席沟通,解释这一悖论,因为如果管理层不声明其运营方式正在限制预算,董事会可能并不总是能看到这一点。“如果与审计风险委员会主席沟通,这可以帮助CISO证明进一步增加预算的合理性,或者为什么保持预算不变、不削减资金是一项要求。”他告诉记者。
在更广泛的企业内保持可见度
IANS报告指出,对预算满意的CISO通常在领导层中具有可见度和可信度,参与风险管理讨论,并向董事会提供项目指标,该报告建议,CISO必须在更广泛的企业内保持可见度并积极参与,同时围绕业务风险而非技术控制来构建对话框架。
Watson同意,为了成功驾驭有影响力的、与资金相关的关系,CISO需要在更大企业范围内超越网络和IT职能,提高自己的可见度。“他们可能从技术岗位起家,但要扩展到IT部门之外,他们就需要被视为业务伙伴和业务顾问。”Watson说道。
如Smartsheet的CISO Chris Peake所指出的,这不仅仅是关于CISO的可见度——而是帮助企业了解其面临的网络安全威胁的范围。目标是为围绕优先事项以及因此而产生的资金和预算决策提供背景。
“如果安全要成为业务的推动者,那么不仅仅是CISO和安全计划需要可见度;威胁格局也需要对每个人都清晰明了。”Peake说道。
CISO的角色是在整个企业内广泛传达这一信息,包括向高管层和董事会传达,并将其与整体业务目标相一致。“企业的其他部门需要了解他们正面临什么,这有助于他们为决定优先事项提供背景。”Peake说道。
虽然CISO熟练掌握财务知识并不总是自然而然的事情,但随着更多对话开始考虑业务的财务方面,这一情况正在改变。“我的大多数同行都在讨论预算,以及我们如何为新技术融入企业提供资金和支持。”他说道。
像GenAI这样的新技术开辟了新的威胁载体,也引发了一些关于预算的对话,因为它们需要投资来管理和保障安全。“它们可能需要资源,这就需要我们在如何部署现有工具方面采取新的视角。”他说道。
尽管如此,在某些情况下,CISO在争取某些项目获得优先考虑时会面临挑战,从而阻碍预算决策。
Antos表示,与关键利益相关者没有关系,甚至关系紧张,都会产生原本不存在的障碍。“这可能导致对安全团队试图做的事情产生误解,或导致错误的假设、误解或沟通不畅。”她说道。
这些可能会阻碍预算分配,并导致解决方案或倡议从优先事项列表中掉落,这强调了对项目重要性达成共识的重要性,这需要建设性的关系和一致的优先事项。
“很多时候,安全部门的工作是由其他团队实施的,比如工程团队、开发人员或IT部门,因此,无论你想实施什么,都需要将其纳入他们的工作队列中作为优先事项。”她说道。
财务素养是影响资金关系的基础
Watson表示,随着企业面临财务逆风,这给CISO带来了更大压力,要求他们向包括首席财务官、首席执行官和董事会在内的利益相关者证明其预算的合理性。“此外,美国证券交易委员会(SEC)披露的新要求正推动人们高度关注网络风险量化,因为重要性已成为一个真正关键的因素。”他说道。
为了有力地应对这些挑战,CISO需要将网络风险与预算联系起来,这就是为什么网络风险量化工具对于他们构建有力的商业案例变得越来越重要。
“你如何证明某件事是否重要?你需要一个数学公式来做到这一点。网络风险量化现在正在企业内掀起一股热潮,这既是艺术也是科学。”他说道。
对于小型企业以及那些没有聘请咨询公司的企业,Antos建议他们利用ISACA或IANS的工具和资源来构建风险分析和预算编制流程。“这些工具提供了指导和材料,帮助安全团队在内部培养必要的财务素养和预算编制流程。”她说道。
ISACA的能力成熟度模型集成(CMMI)框架有助于成本控制和基于风险的预算编制策略。根据2023年CMMI技术报告,使用该框架的企业成本差异减少了47%。
对于Antos而言,信息系统和会计学的学位有助于她弥合CISO角色中的技术和财务方面,她强调,了解财务语言并传达安全投资的业务价值,可以显著增强CISO在谈判预算时的地位。
对于CISO而言,财务素养不再是可选的——它是与利益相关者互动并为安全投资构建商业案例所必需的。
了解预算编制流程并传达安全的业务价值,使CISO能够弥合技术要求和企业优先事项之间的差距,确保他们获得所需的资源。
在实际操作中,关于安全需求的对话,特别是涉及大型项目时,需要尽早开始,并解释它将如何影响业务。
“提前准备好所有这些要比在预算编制过程中尝试做这件事容易得多。”她说道。
