[[418440]]

事實(shí)表明，首席信息安全官和首席財(cái)務(wù)官達(dá)成密切合作關(guān)系將有助于確保企業(yè)擁有適合其風(fēng)險(xiǎn)狀況的資源。

每位首席安全執(zhí)行官都知道，其工作中最重要(或許也是最具挑戰(zhàn)性)的方面之一是獲得支持網(wǎng)絡(luò)安全計(jì)劃所需的資金。企業(yè)負(fù)責(zé)制定預(yù)算的主管通常是首席財(cái)務(wù)官，因此首席信息安全官需要了解與首席財(cái)務(wù)官更好地進(jìn)行互動(dòng)的最佳方式。

馬里蘭州政府首席信息安全官Arthur Treichel表示：“首席財(cái)務(wù)官/財(cái)務(wù)主管和首席信息安全官的關(guān)系對(duì)于了解企業(yè)如何衡量成功至關(guān)重要，這有助于首席信息安全官如何更好地衡量和傳達(dá)其面臨的網(wǎng)絡(luò)威脅。”

以下是企業(yè)的首席信息安全官在與首席財(cái)務(wù)官合作時(shí)的一些最佳實(shí)踐：

1.掌握首席財(cái)務(wù)官的語言

研究機(jī)構(gòu)IDC公司安全與信任項(xiàng)目副總裁Frank Dickson表示，首席信息安全官在描述網(wǎng)絡(luò)安全帶來的威脅時(shí)，喜歡使用與網(wǎng)絡(luò)安全活動(dòng)相關(guān)的指標(biāo)。其中包括諸如處理的警報(bào)數(shù)量、平均響應(yīng)時(shí)間、平均修復(fù)時(shí)間和停留時(shí)間等指標(biāo)。

這些是首席財(cái)務(wù)官不太可能感興趣的內(nèi)容，因此首席信息安全在與首席財(cái)務(wù)官的討論中談到這些概念毫無意義。Dickson說，“首席財(cái)務(wù)官希望了解與風(fēng)險(xiǎn)和安全狀況相關(guān)的指標(biāo)，在本質(zhì)上，首席財(cái)務(wù)官想知道企業(yè)的業(yè)務(wù)是否‘安全’。傳達(dá)安全活動(dòng)的威脅信息讓首席財(cái)務(wù)官感到沮喪，因?yàn)樗麄儧]有獲得想要的信息。”

Dickson說，明智的一個(gè)做法是讓首席信息安全官和首席財(cái)務(wù)官一起來建立一套傳達(dá)所需信息的指標(biāo)。他說，“這并不意味著首席信息安全官會(huì)向首席財(cái)務(wù)官教授所有關(guān)于網(wǎng)絡(luò)安全的知識(shí)，而是意味著首席信息安全官改變與首席財(cái)務(wù)官溝通的方式。”

風(fēng)險(xiǎn)投資商YLVentures公司的運(yùn)營合伙人、前首席安全官Andy Ellis表示，對(duì)于企業(yè)的安全主管來說，與首席財(cái)務(wù)官進(jìn)行溝通有時(shí)會(huì)讓人覺得是一種挑戰(zhàn)。“首席財(cái)務(wù)官似乎掌握著一個(gè)完全是記錄真實(shí)數(shù)據(jù)的領(lǐng)域。另一方面，首席信息安全官通常采用專業(yè)的術(shù)語談?wù)擄L(fēng)險(xiǎn)，因此他們要掌握首席財(cái)務(wù)官的語言，改變與首席財(cái)務(wù)官溝通的方式。”

2.利用數(shù)據(jù)豐富的經(jīng)濟(jì)模型來量化風(fēng)險(xiǎn)

首席信息安全官應(yīng)盡可能使用經(jīng)濟(jì)模型向首席財(cái)務(wù)官解釋網(wǎng)絡(luò)威脅帶來的風(fēng)險(xiǎn)。人力資本管理產(chǎn)品提供商Paychex公司副總裁兼首席信息安全官Bradley Schaufenbuel表示，采用經(jīng)濟(jì)信息風(fēng)險(xiǎn)模型，例如FAI RInstitute的信息風(fēng)險(xiǎn)因素分析(FAIR)，首席信息安全官可以用財(cái)務(wù)術(shù)語來表達(dá)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)，首席財(cái)務(wù)官以及其他執(zhí)行團(tuán)隊(duì)和董事會(huì)將會(huì)很容易理解。采用經(jīng)濟(jì)模型來量化信息風(fēng)險(xiǎn)具有額外的好處，可以確保優(yōu)先考慮降低最有影響的風(fēng)險(xiǎn)，并優(yōu)化網(wǎng)絡(luò)安全支出，這最終是首席財(cái)務(wù)官想要首席信息安全官提供的信息。

他說，“經(jīng)濟(jì)模型應(yīng)該有豐富的數(shù)據(jù)。由于他們的工作性質(zhì)，大多數(shù)首席財(cái)務(wù)官都會(huì)做出數(shù)據(jù)驅(qū)動(dòng)的決策，而數(shù)據(jù)比主觀意見或預(yù)感更客觀，更難以操縱。在提高向首席財(cái)務(wù)官以及其他企業(yè)高管傳達(dá)信息的有效性方面，可以采取的最好方法之一是采用相關(guān)數(shù)據(jù)支持提出的觀點(diǎn)。”

3.定期溝通

一旦首席信息安全官掌握了首席財(cái)務(wù)官的語言，定期溝通是明智之舉。頻繁的互動(dòng)有助于讓首席財(cái)務(wù)官了解最新的網(wǎng)絡(luò)安全威脅、漏洞、工具、標(biāo)準(zhǔn)等，并使首席信息安全官了解企業(yè)的財(cái)務(wù)/預(yù)算情況。

鑒于安全形勢(shì)瞬息萬變，新威脅不斷出現(xiàn)，新解決方案進(jìn)入市場(chǎng)，這一點(diǎn)尤其如此。Dickson說，“溝通需要主動(dòng)和頻繁，但也要簡(jiǎn)潔明了。”他表示，首席財(cái)務(wù)官對(duì)于成為網(wǎng)絡(luò)安全專家不感興趣，他們只想確保企業(yè)的業(yè)務(wù)受到安全保護(hù)，并且想了解企業(yè)面臨的風(fēng)險(xiǎn)狀況。

4.學(xué)習(xí)一些財(cái)務(wù)知識(shí)

僅僅使用財(cái)務(wù)模型來傳達(dá)網(wǎng)絡(luò)安全的價(jià)值是不夠的;首席信息安全官需要了解財(cái)務(wù)部門的運(yùn)作方式，以便與首席財(cái)務(wù)官有效合作。Schaufenbuel說，“首席信息安全官需要具備財(cái)務(wù)知識(shí)。如果不了解損益表和資產(chǎn)負(fù)債表之間的區(qū)別以及運(yùn)營費(fèi)用和資本投資之間的細(xì)微差別，那么將很難獲得企業(yè)高管的尊重，尤其是首席財(cái)務(wù)官。”

Schaufenbuel表示，首席信息安全官獲得MBA學(xué)位將會(huì)成為對(duì)自己職業(yè)發(fā)展的最佳投資。他說，“在沒有金融領(lǐng)域?qū)W位的情況下，了解一些基本會(huì)計(jì)和財(cái)務(wù)概念要比試圖在沒有金融知識(shí)的情況下為企業(yè)高管進(jìn)行解釋要好得多。”

當(dāng)然，首席信息安全官可以幫助對(duì)財(cái)務(wù)主管及其團(tuán)隊(duì)進(jìn)行基本安全問題的教育，而不會(huì)陷入困境。Treichel說，“在某些情況下，對(duì)首席信息安全官來說，與首席財(cái)務(wù)官或財(cái)務(wù)主管達(dá)成最佳合作關(guān)系始于安全事件。因?yàn)樨?cái)務(wù)部門是網(wǎng)絡(luò)攻擊者理想的目標(biāo)，而針對(duì)可以授權(quán)交易的員工的網(wǎng)絡(luò)釣魚和惡意軟件活動(dòng)非常普遍。首席信息安全官可以花費(fèi)更多時(shí)間教育財(cái)務(wù)部門的員工并與他們合作來降低風(fēng)險(xiǎn)，并與首席財(cái)務(wù)官建立更好的合作關(guān)系。”

5.了解預(yù)算流程

在大多數(shù)企業(yè)中，首席財(cái)務(wù)官無法控制額外的預(yù)算。Ellis表示，他們需要控制預(yù)算過程。他說，“這是一個(gè)微妙但十分重要的過程。如果企業(yè)有一個(gè)年度預(yù)算周期，其年度預(yù)算在當(dāng)年11月之前確定，那么起草預(yù)算的過程將會(huì)持續(xù)數(shù)月。如果在11月提出新的預(yù)算請(qǐng)求，那么將會(huì)遭到拒絕，無論其需求有多重要。”

他表示，很多企業(yè)因?yàn)橐馔舛七t了一些預(yù)算，在流程之外工作，那么可能會(huì)讓一些人的工作陷入困境。

當(dāng)首席信息安全官由于一些意外的緊迫性而必須在流程之外工作時(shí)，他們需要了解這造成的困難，并了解他們是否可以提供幫助。Ellis說，“一個(gè)部門如果需要獲得計(jì)劃之外的資金，那么很可能擠占其他部門的預(yù)算。”

6.不要忽視計(jì)劃

良好的網(wǎng)絡(luò)安全規(guī)劃本身就很重要，但對(duì)于與首席財(cái)務(wù)官和其他財(cái)務(wù)主管打交道來說尤其重要。Dickson說，“首席財(cái)務(wù)官最不希望看到的是財(cái)政年度結(jié)束時(shí)出現(xiàn)的意外開支。”

定期更新計(jì)劃是一個(gè)好主意，其中包括與安全工具和服務(wù)的新投資相關(guān)的任何內(nèi)容。企業(yè)還需要做好未來的規(guī)劃。Dickson表示，典型的12個(gè)月IT規(guī)劃周期已不再選用。他說，“企業(yè)的IT規(guī)劃需要成為持續(xù)數(shù)年的長久規(guī)劃，并且要涵蓋IT和安全領(lǐng)域。”

Dickson表示，多年規(guī)劃不僅可以提高安全的有效性，還可以增加可預(yù)測(cè)性。他說，“這樣做的話，意外開支的威脅將顯著減少，即使出現(xiàn)意外支出，首席財(cái)務(wù)官可以為此做好準(zhǔn)備。”

7.主觀和客觀分析相分離

Ellis說，“除了欺詐等少數(shù)狹隘領(lǐng)域外，幾乎所有的安全分析都是主觀的。即使是表面上的定量方法實(shí)際上也只是主觀分析。”

Ellis表示，這并不是安全團(tuán)隊(duì)獨(dú)有的。財(cái)務(wù)團(tuán)隊(duì)的預(yù)測(cè)通常包含一些主觀性。但具有主觀性的財(cái)務(wù)分析通常會(huì)被調(diào)用、仔細(xì)識(shí)別并在事后檢查是否不準(zhǔn)確。

另一方面，安全猜測(cè)很少用于批判性分析。他說，“首席信息安全官談?wù)摪踩顿Y的回報(bào)時(shí)，會(huì)使用憑空猜測(cè)的可能性，然后在沒有出現(xiàn)問題的情況下獲得信任，而如果出現(xiàn)問題則將責(zé)任歸咎于他人。首席信息安全官在與首席財(cái)務(wù)官交談時(shí)，承認(rèn)預(yù)測(cè)中的猜測(cè)是對(duì)話的開始，并且不要夸大預(yù)測(cè)能力。首席信息安全官需要掌握與首席財(cái)務(wù)官會(huì)話的技巧，這樣就會(huì)讓首席財(cái)務(wù)官成為對(duì)其面臨的挑戰(zhàn)更有同情心的合作伙伴。”