[[437837]]

隨著網(wǎng)絡(luò)攻擊的數(shù)量和復(fù)雜程度不斷升級(jí)，企業(yè)將在來(lái)年再次增加其網(wǎng)絡(luò)安全預(yù)算。普華永道《全球數(shù)字信任洞察報(bào)告》的結(jié)果顯示，69%的企業(yè)預(yù)計(jì)將在2022年增加網(wǎng)絡(luò)支出;26%的受訪者預(yù)計(jì)增加10%或更多的安全預(yù)算。

即便身處攻擊頻發(fā)的時(shí)代，這樣的數(shù)據(jù)也會(huì)促使“網(wǎng)絡(luò)安全作為成本中心”的概念進(jìn)一步深化。與此同時(shí)，這也可能導(dǎo)致CISO與其高管同事產(chǎn)生分歧，讓其他高管領(lǐng)導(dǎo)人對(duì)從網(wǎng)絡(luò)安全投資中獲得的實(shí)際回報(bào)率倍感沮喪和困惑。

培訓(xùn)機(jī)構(gòu)Cyber Leadership Institute首席執(zhí)行官Phil Zongo表示，“許多商業(yè)領(lǐng)袖現(xiàn)在熱衷于參與網(wǎng)絡(luò)轉(zhuǎn)型，但他們發(fā)現(xiàn)晦澀難懂的安全術(shù)語(yǔ)以及徒勞的指標(biāo)總是令人深感沮喪。這讓他們搞不清針對(duì)其業(yè)務(wù)的主要威脅、現(xiàn)有防御的強(qiáng)度或是需要進(jìn)行哪些投資。他們覺(jué)得自己投入的資金如同石沉大海，因?yàn)榫W(wǎng)絡(luò)安全團(tuán)隊(duì)很難將舉措的價(jià)值轉(zhuǎn)化為業(yè)務(wù)語(yǔ)言：金錢(qián)。”

不過(guò)，即便安全預(yù)算逐年增加，精明的CISO們已經(jīng)找到方法擺脫“網(wǎng)絡(luò)安全作為成本中心”的觀念，他們是如何做到的呢?方法就是通過(guò)證明安全性不僅對(duì)業(yè)務(wù)成功至關(guān)重要，而且與其保護(hù)的數(shù)字基礎(chǔ)設(shè)施和數(shù)據(jù)資產(chǎn)一樣，也是業(yè)務(wù)發(fā)展的一種推動(dòng)因素和競(jìng)爭(zhēng)優(yōu)勢(shì)。

沒(méi)有一種方法可以徹底消除“安全是成本中心”的觀念，但通過(guò)采取下述5種策略可以幫助CISO讓其他人將安全視為“價(jià)值中心”。

你的表達(dá)方式會(huì)影響別人對(duì)你的看法

Russell Reynolds Associates首席信息安全官Ahmed Jamil有句格言“不能衡量，就無(wú)法管理”，其提倡的想法是，你無(wú)法改進(jìn)自己不知道和不理解的東西。

他解釋稱，“有時(shí)候，第一步要做的就是了解。你必須了解最高管理層和董事會(huì)對(duì)你的看法。”這是一個(gè)需要進(jìn)行一些反思的步驟，以確定作為CISO的您是否被視為“致力于制定政策和戰(zhàn)略的完整執(zhí)行合伙人”，或者“安全是否仍然是事后考慮事項(xiàng)等等。

CISO們習(xí)慣表達(dá)“這就是在當(dāng)前網(wǎng)絡(luò)形勢(shì)下，我們?yōu)榇_保企業(yè)安全所做的一切”。他們會(huì)向董事會(huì)展示“關(guān)于這項(xiàng)工作”的指標(biāo)，但他們不會(huì)展示即將發(fā)生的事情。然而，CISO需要用商業(yè)術(shù)語(yǔ)來(lái)表達(dá)他們?nèi)绾慰创磳⒌絹?lái)的事情，他們需要更主動(dòng)地表明安全是創(chuàng)新中心，就像數(shù)字分析一樣。

培養(yǎng)業(yè)務(wù)上的盟友

Zongo建議CISO“堅(jiān)持不懈地關(guān)注利益相關(guān)者的參與情況”。

他解釋稱，“沒(méi)有高管支持，任何重大轉(zhuǎn)型計(jì)劃都無(wú)法成功，網(wǎng)絡(luò)安全也不例外。盡早讓關(guān)鍵部門(mén)的利益相關(guān)者參與進(jìn)來(lái)，并將他們的觀點(diǎn)融入戰(zhàn)略。當(dāng)重要高管從一開(kāi)始就投入其中的話，他們可能會(huì)全力支持網(wǎng)絡(luò)轉(zhuǎn)型計(jì)劃。”

為此，CISO必須建立一個(gè)跨職能的網(wǎng)絡(luò)風(fēng)險(xiǎn)委員會(huì)，由來(lái)自業(yè)務(wù)風(fēng)險(xiǎn)、法律、技術(shù)、產(chǎn)品開(kāi)發(fā)、采購(gòu)和財(cái)務(wù)的高級(jí)利益相關(guān)者組成。網(wǎng)絡(luò)風(fēng)險(xiǎn)委員會(huì)為高層定下正確的基調(diào)，批準(zhǔn)網(wǎng)絡(luò)安全戰(zhàn)略，并確保該職能得到充足的資金和良好的支持。

然而，一些CISO在充分參與業(yè)務(wù)的能力方面將面臨挑戰(zhàn)，許多CISO仍然需要向CIO報(bào)告。根據(jù)獵頭公司Heidrick & Struggles發(fā)布的《2021年全球首席信息安全官調(diào)查報(bào)告》發(fā)現(xiàn)，38% 的CISO向CIO報(bào)告，只有11%直接向CEO報(bào)告。這種報(bào)告結(jié)構(gòu)無(wú)疑削弱了CISO直接參與業(yè)務(wù)的能力。

Home Access Health公司IT副總裁兼安全官Pam Nigro表示，當(dāng)CISO能夠充分考慮企業(yè)整體目標(biāo)時(shí)，他們所做的事情才能獲得更多認(rèn)同，并獲得更多的支持。例如，如果CISO的美國(guó)公司想要擴(kuò)展到歐洲市場(chǎng)，CISO必須了解并闡明安全職能將如何通過(guò)滿足歐洲隱私法規(guī)和安全要求來(lái)實(shí)現(xiàn)企業(yè)業(yè)務(wù)目標(biāo)，而不是去詳細(xì)說(shuō)明如何保護(hù)技術(shù)基礎(chǔ)設(shè)施。

強(qiáng)調(diào)正面信息

近年來(lái)，一連串備受矚目且影響深遠(yuǎn)的網(wǎng)絡(luò)事件使網(wǎng)絡(luò)安全成為董事會(huì)的頭等大事。隨著相關(guān)法規(guī)相繼出臺(tái)，以及消費(fèi)者對(duì)該領(lǐng)域的期望上升，董事會(huì)也日益關(guān)注安全性。

JWC Partners 《2021年公司董事會(huì)調(diào)查報(bào)告》發(fā)現(xiàn)，安全在董事會(huì)最關(guān)心的問(wèn)題列表中排名第3，緊跟在“公司戰(zhàn)略”和“CEO/領(lǐng)導(dǎo)層繼任”問(wèn)題之后。然而，與此同時(shí)，談到對(duì)該主題的理解，許多董事會(huì)成員卻表現(xiàn)得不是特別有信心。

普華永道公布的調(diào)查結(jié)果顯示，只有33%的受訪董事成員表示他們“非常了解”公司的網(wǎng)絡(luò)安全漏洞，53%的人表示他們只是“有點(diǎn)”了解這些漏洞，13%的受訪者將他們的理解列為“不太了解”，只有1%的人承認(rèn)他們根本不了解。

很長(zhǎng)一段時(shí)間來(lái)，CISO一直苦惱于他們的信息被置若罔聞，他們的預(yù)算資金嚴(yán)重不足，他們被視為系統(tǒng)管理員。如今，董事會(huì)對(duì)網(wǎng)絡(luò)安全的興趣日益濃厚，這無(wú)疑為CISO提供了機(jī)會(huì)。

但Zongo建議CISO不要只關(guān)注可能出錯(cuò)的地方：恐嚇強(qiáng)化了舊觀念，即安全職能是一種類似于保險(xiǎn)的成本。

軟件公司Aquia CISO兼聯(lián)合創(chuàng)始人Chris Hughes認(rèn)為，“CISO應(yīng)該從利用恐懼、不確定性和懷疑的陳舊策略，轉(zhuǎn)變?yōu)殛P(guān)于網(wǎng)絡(luò)安全可能對(duì)業(yè)務(wù)以及更廣泛的利益相關(guān)者產(chǎn)生影響的正面信息。網(wǎng)絡(luò)安全事件可能會(huì)對(duì)財(cái)務(wù)、監(jiān)管和聲譽(yù)等方面產(chǎn)生負(fù)面影響。雖然提醒您的業(yè)務(wù)同行注意這一點(diǎn)很重要，但它也會(huì)帶來(lái)副作用。相反地，我們可以將信息轉(zhuǎn)化為強(qiáng)大的網(wǎng)絡(luò)安全態(tài)勢(shì)會(huì)使企業(yè)安全運(yùn)行，為客戶和利益相關(guān)者創(chuàng)造最大價(jià)值，甚至成為市場(chǎng)同行間的關(guān)鍵差異化因素?？偠灾?，CISO應(yīng)該展示的是通過(guò)避免網(wǎng)絡(luò)安全事件將如何促進(jìn)業(yè)務(wù)增長(zhǎng)的正面信息。”

量化安全提供的價(jià)值

KPMG網(wǎng)絡(luò)風(fēng)險(xiǎn)和威脅情報(bào)負(fù)責(zé)人Fred Rica表示，通過(guò)展示安全能夠?yàn)槠髽I(yè)帶來(lái)的價(jià)值，同樣能夠幫助CISO擺脫成本中心觀念。

Rica將安全定位為“確保企業(yè)安全快速前行的剎車裝置”，而不是“減緩或關(guān)閉一切的緊急杠桿”。當(dāng)然，你可以在沒(méi)有剎車的情況下駕駛車輛，但我想結(jié)果一定不是你想要的，或者能夠承受的。

因此，CISO應(yīng)該強(qiáng)調(diào)安全性如何讓客戶與企業(yè)快速無(wú)縫地互動(dòng)，讓他們知道如果出現(xiàn)問(wèn)題，“剎車裝置”將能確保他們的安全。

而且，聰明的CISO知道如何表達(dá)和量化這一點(diǎn)。身為ISACA董事會(huì)副主席的Nigro承認(rèn)，將安全性轉(zhuǎn)化為實(shí)際價(jià)值對(duì)CISO來(lái)說(shuō)極具挑戰(zhàn)性。不過(guò)，即便再艱難，CISO也應(yīng)該這樣做。她表示，“量化正在發(fā)生的事情，而不是自己消耗的成本，才是高管們和董事會(huì)成員想要看到的。”

此外，她還建議CISO與他們的財(cái)務(wù)同事合作，培養(yǎng)完成任務(wù)所需的技能;她自己就是依靠一位精算師同事來(lái)學(xué)習(xí)如何量化她的安全職能貢獻(xiàn)值。

Nigro曾在一家保險(xiǎn)公司工作，該公司試圖通過(guò)平價(jià)醫(yī)療法案(Affordable Care Act)交易所提供保險(xiǎn);她計(jì)算了提供參與所需的安全性成本，以及如果她的公司在參與截止日期前沒(méi)有準(zhǔn)備好必要的安全性，來(lái)年將會(huì)損失的收入。這使她能夠從財(cái)務(wù)角度展示安全的價(jià)格如何與參與該計(jì)劃帶來(lái)的潛在收益相形見(jiàn)絀。

讓安全成為差異化因素

CompTIA首席技術(shù)布道師James Stanger表示，將所有這些戰(zhàn)略結(jié)合在一起的CISO能夠?qū)⑵淦髽I(yè)的安全性定位為競(jìng)爭(zhēng)優(yōu)勢(shì)，這不僅能夠支持公司的敏捷性，而且實(shí)際上對(duì)公司的快速響應(yīng)能力至關(guān)重要。

他解釋稱，“如今的CISO更具戰(zhàn)略意義，他們應(yīng)該是為組織的成功奠定基礎(chǔ)的人。傳統(tǒng)的想法是CISO旨在確保公司免遭黑客攻擊?，F(xiàn)在，CISO已經(jīng)成為擴(kuò)大業(yè)務(wù)的推動(dòng)者。”

今天的CISO必須積極塑造企業(yè)內(nèi)其他人對(duì)他們及其安全團(tuán)隊(duì)的看法;他們需要與業(yè)務(wù)職能負(fù)責(zé)人合作;他們還必須能夠評(píng)估和闡明風(fēng)險(xiǎn)，并使用這些來(lái)評(píng)估安全的價(jià)值;他們擅長(zhǎng)將安全視為業(yè)務(wù)運(yùn)營(yíng)的基礎(chǔ);他們知道如何證明安全其實(shí)是“機(jī)會(huì)中心”，而非“成本中心”。