[[418440]]

事實表明，首席信息安全官和首席財務(wù)官達成密切合作關(guān)系將有助于確保企業(yè)擁有適合其風險狀況的資源。

每位首席安全執(zhí)行官都知道，其工作中最重要(或許也是最具挑戰(zhàn)性)的方面之一是獲得支持網(wǎng)絡(luò)安全計劃所需的資金。企業(yè)負責制定預算的主管通常是首席財務(wù)官，因此首席信息安全官需要了解與首席財務(wù)官更好地進行互動的最佳方式。

馬里蘭州政府首席信息安全官Arthur Treichel表示：“首席財務(wù)官/財務(wù)主管和首席信息安全官的關(guān)系對于了解企業(yè)如何衡量成功至關(guān)重要，這有助于首席信息安全官如何更好地衡量和傳達其面臨的網(wǎng)絡(luò)威脅。”

以下是企業(yè)的首席信息安全官在與首席財務(wù)官合作時的一些最佳實踐：

1.掌握首席財務(wù)官的語言

研究機構(gòu)IDC公司安全與信任項目副總裁Frank Dickson表示，首席信息安全官在描述網(wǎng)絡(luò)安全帶來的威脅時，喜歡使用與網(wǎng)絡(luò)安全活動相關(guān)的指標。其中包括諸如處理的警報數(shù)量、平均響應(yīng)時間、平均修復時間和停留時間等指標。

這些是首席財務(wù)官不太可能感興趣的內(nèi)容，因此首席信息安全在與首席財務(wù)官的討論中談到這些概念毫無意義。Dickson說，“首席財務(wù)官希望了解與風險和安全狀況相關(guān)的指標，在本質(zhì)上，首席財務(wù)官想知道企業(yè)的業(yè)務(wù)是否‘安全’。傳達安全活動的威脅信息讓首席財務(wù)官感到沮喪，因為他們沒有獲得想要的信息。”

Dickson說，明智的一個做法是讓首席信息安全官和首席財務(wù)官一起來建立一套傳達所需信息的指標。他說，“這并不意味著首席信息安全官會向首席財務(wù)官教授所有關(guān)于網(wǎng)絡(luò)安全的知識，而是意味著首席信息安全官改變與首席財務(wù)官溝通的方式。”

風險投資商YLVentures公司的運營合伙人、前首席安全官Andy Ellis表示，對于企業(yè)的安全主管來說，與首席財務(wù)官進行溝通有時會讓人覺得是一種挑戰(zhàn)。“首席財務(wù)官似乎掌握著一個完全是記錄真實數(shù)據(jù)的領(lǐng)域。另一方面，首席信息安全官通常采用專業(yè)的術(shù)語談?wù)擄L險，因此他們要掌握首席財務(wù)官的語言，改變與首席財務(wù)官溝通的方式。”

2.利用數(shù)據(jù)豐富的經(jīng)濟模型來量化風險

首席信息安全官應(yīng)盡可能使用經(jīng)濟模型向首席財務(wù)官解釋網(wǎng)絡(luò)威脅帶來的風險。人力資本管理產(chǎn)品提供商Paychex公司副總裁兼首席信息安全官Bradley Schaufenbuel表示，采用經(jīng)濟信息風險模型，例如FAI RInstitute的信息風險因素分析(FAIR)，首席信息安全官可以用財務(wù)術(shù)語來表達網(wǎng)絡(luò)安全的風險，首席財務(wù)官以及其他執(zhí)行團隊和董事會將會很容易理解。采用經(jīng)濟模型來量化信息風險具有額外的好處，可以確保優(yōu)先考慮降低最有影響的風險，并優(yōu)化網(wǎng)絡(luò)安全支出，這最終是首席財務(wù)官想要首席信息安全官提供的信息。

他說，“經(jīng)濟模型應(yīng)該有豐富的數(shù)據(jù)。由于他們的工作性質(zhì)，大多數(shù)首席財務(wù)官都會做出數(shù)據(jù)驅(qū)動的決策，而數(shù)據(jù)比主觀意見或預感更客觀，更難以操縱。在提高向首席財務(wù)官以及其他企業(yè)高管傳達信息的有效性方面，可以采取的最好方法之一是采用相關(guān)數(shù)據(jù)支持提出的觀點。”

3.定期溝通

一旦首席信息安全官掌握了首席財務(wù)官的語言，定期溝通是明智之舉。頻繁的互動有助于讓首席財務(wù)官了解最新的網(wǎng)絡(luò)安全威脅、漏洞、工具、標準等，并使首席信息安全官了解企業(yè)的財務(wù)/預算情況。

鑒于安全形勢瞬息萬變，新威脅不斷出現(xiàn)，新解決方案進入市場，這一點尤其如此。Dickson說，“溝通需要主動和頻繁，但也要簡潔明了。”他表示，首席財務(wù)官對于成為網(wǎng)絡(luò)安全專家不感興趣，他們只想確保企業(yè)的業(yè)務(wù)受到安全保護，并且想了解企業(yè)面臨的風險狀況。

4.學習一些財務(wù)知識

僅僅使用財務(wù)模型來傳達網(wǎng)絡(luò)安全的價值是不夠的;首席信息安全官需要了解財務(wù)部門的運作方式，以便與首席財務(wù)官有效合作。Schaufenbuel說，“首席信息安全官需要具備財務(wù)知識。如果不了解損益表和資產(chǎn)負債表之間的區(qū)別以及運營費用和資本投資之間的細微差別，那么將很難獲得企業(yè)高管的尊重，尤其是首席財務(wù)官。”

Schaufenbuel表示，首席信息安全官獲得MBA學位將會成為對自己職業(yè)發(fā)展的最佳投資。他說，“在沒有金融領(lǐng)域?qū)W位的情況下，了解一些基本會計和財務(wù)概念要比試圖在沒有金融知識的情況下為企業(yè)高管進行解釋要好得多。”

當然，首席信息安全官可以幫助對財務(wù)主管及其團隊進行基本安全問題的教育，而不會陷入困境。Treichel說，“在某些情況下，對首席信息安全官來說，與首席財務(wù)官或財務(wù)主管達成最佳合作關(guān)系始于安全事件。因為財務(wù)部門是網(wǎng)絡(luò)攻擊者理想的目標，而針對可以授權(quán)交易的員工的網(wǎng)絡(luò)釣魚和惡意軟件活動非常普遍。首席信息安全官可以花費更多時間教育財務(wù)部門的員工并與他們合作來降低風險，并與首席財務(wù)官建立更好的合作關(guān)系。”

5.了解預算流程

在大多數(shù)企業(yè)中，首席財務(wù)官無法控制額外的預算。Ellis表示，他們需要控制預算過程。他說，“這是一個微妙但十分重要的過程。如果企業(yè)有一個年度預算周期，其年度預算在當年11月之前確定，那么起草預算的過程將會持續(xù)數(shù)月。如果在11月提出新的預算請求，那么將會遭到拒絕，無論其需求有多重要。”

他表示，很多企業(yè)因為意外而推遲了一些預算，在流程之外工作，那么可能會讓一些人的工作陷入困境。

當首席信息安全官由于一些意外的緊迫性而必須在流程之外工作時，他們需要了解這造成的困難，并了解他們是否可以提供幫助。Ellis說，“一個部門如果需要獲得計劃之外的資金，那么很可能擠占其他部門的預算。”

6.不要忽視計劃

良好的網(wǎng)絡(luò)安全規(guī)劃本身就很重要，但對于與首席財務(wù)官和其他財務(wù)主管打交道來說尤其重要。Dickson說，“首席財務(wù)官最不希望看到的是財政年度結(jié)束時出現(xiàn)的意外開支。”

定期更新計劃是一個好主意，其中包括與安全工具和服務(wù)的新投資相關(guān)的任何內(nèi)容。企業(yè)還需要做好未來的規(guī)劃。Dickson表示，典型的12個月IT規(guī)劃周期已不再選用。他說，“企業(yè)的IT規(guī)劃需要成為持續(xù)數(shù)年的長久規(guī)劃，并且要涵蓋IT和安全領(lǐng)域。”

Dickson表示，多年規(guī)劃不僅可以提高安全的有效性，還可以增加可預測性。他說，“這樣做的話，意外開支的威脅將顯著減少，即使出現(xiàn)意外支出，首席財務(wù)官可以為此做好準備。”

7.主觀和客觀分析相分離

Ellis說，“除了欺詐等少數(shù)狹隘領(lǐng)域外，幾乎所有的安全分析都是主觀的。即使是表面上的定量方法實際上也只是主觀分析。”

Ellis表示，這并不是安全團隊獨有的。財務(wù)團隊的預測通常包含一些主觀性。但具有主觀性的財務(wù)分析通常會被調(diào)用、仔細識別并在事后檢查是否不準確。

另一方面，安全猜測很少用于批判性分析。他說，“首席信息安全官談?wù)摪踩顿Y的回報時，會使用憑空猜測的可能性，然后在沒有出現(xiàn)問題的情況下獲得信任，而如果出現(xiàn)問題則將責任歸咎于他人。首席信息安全官在與首席財務(wù)官交談時，承認預測中的猜測是對話的開始，并且不要夸大預測能力。首席信息安全官需要掌握與首席財務(wù)官會話的技巧，這樣就會讓首席財務(wù)官成為對其面臨的挑戰(zhàn)更有同情心的合作伙伴。”