[[437837]]

隨著網(wǎng)絡(luò)攻擊的數(shù)量和復(fù)雜程度不斷升級，企業(yè)將在來年再次增加其網(wǎng)絡(luò)安全預(yù)算。普華永道《全球數(shù)字信任洞察報告》的結(jié)果顯示，69%的企業(yè)預(yù)計將在2022年增加網(wǎng)絡(luò)支出;26%的受訪者預(yù)計增加10%或更多的安全預(yù)算。

即便身處攻擊頻發(fā)的時代，這樣的數(shù)據(jù)也會促使“網(wǎng)絡(luò)安全作為成本中心”的概念進(jìn)一步深化。與此同時，這也可能導(dǎo)致CISO與其高管同事產(chǎn)生分歧，讓其他高管領(lǐng)導(dǎo)人對從網(wǎng)絡(luò)安全投資中獲得的實際回報率倍感沮喪和困惑。

培訓(xùn)機(jī)構(gòu)Cyber Leadership Institute首席執(zhí)行官Phil Zongo表示，“許多商業(yè)領(lǐng)袖現(xiàn)在熱衷于參與網(wǎng)絡(luò)轉(zhuǎn)型，但他們發(fā)現(xiàn)晦澀難懂的安全術(shù)語以及徒勞的指標(biāo)總是令人深感沮喪。這讓他們搞不清針對其業(yè)務(wù)的主要威脅、現(xiàn)有防御的強(qiáng)度或是需要進(jìn)行哪些投資。他們覺得自己投入的資金如同石沉大海，因為網(wǎng)絡(luò)安全團(tuán)隊很難將舉措的價值轉(zhuǎn)化為業(yè)務(wù)語言：金錢。”

不過，即便安全預(yù)算逐年增加，精明的CISO們已經(jīng)找到方法擺脫“網(wǎng)絡(luò)安全作為成本中心”的觀念，他們是如何做到的呢?方法就是通過證明安全性不僅對業(yè)務(wù)成功至關(guān)重要，而且與其保護(hù)的數(shù)字基礎(chǔ)設(shè)施和數(shù)據(jù)資產(chǎn)一樣，也是業(yè)務(wù)發(fā)展的一種推動因素和競爭優(yōu)勢。

沒有一種方法可以徹底消除“安全是成本中心”的觀念，但通過采取下述5種策略可以幫助CISO讓其他人將安全視為“價值中心”。

你的表達(dá)方式會影響別人對你的看法

Russell Reynolds Associates首席信息安全官Ahmed Jamil有句格言“不能衡量，就無法管理”，其提倡的想法是，你無法改進(jìn)自己不知道和不理解的東西。

他解釋稱，“有時候，第一步要做的就是了解。你必須了解最高管理層和董事會對你的看法。”這是一個需要進(jìn)行一些反思的步驟，以確定作為CISO的您是否被視為“致力于制定政策和戰(zhàn)略的完整執(zhí)行合伙人”，或者“安全是否仍然是事后考慮事項等等。

CISO們習(xí)慣表達(dá)“這就是在當(dāng)前網(wǎng)絡(luò)形勢下，我們?yōu)榇_保企業(yè)安全所做的一切”。他們會向董事會展示“關(guān)于這項工作”的指標(biāo)，但他們不會展示即將發(fā)生的事情。然而，CISO需要用商業(yè)術(shù)語來表達(dá)他們?nèi)绾慰创磳⒌絹淼氖虑?，他們需要更主動地表明安全是?chuàng)新中心，就像數(shù)字分析一樣。

培養(yǎng)業(yè)務(wù)上的盟友

Zongo建議CISO“堅持不懈地關(guān)注利益相關(guān)者的參與情況”。

他解釋稱，“沒有高管支持，任何重大轉(zhuǎn)型計劃都無法成功，網(wǎng)絡(luò)安全也不例外。盡早讓關(guān)鍵部門的利益相關(guān)者參與進(jìn)來，并將他們的觀點融入戰(zhàn)略。當(dāng)重要高管從一開始就投入其中的話，他們可能會全力支持網(wǎng)絡(luò)轉(zhuǎn)型計劃。”

為此，CISO必須建立一個跨職能的網(wǎng)絡(luò)風(fēng)險委員會，由來自業(yè)務(wù)風(fēng)險、法律、技術(shù)、產(chǎn)品開發(fā)、采購和財務(wù)的高級利益相關(guān)者組成。網(wǎng)絡(luò)風(fēng)險委員會為高層定下正確的基調(diào)，批準(zhǔn)網(wǎng)絡(luò)安全戰(zhàn)略，并確保該職能得到充足的資金和良好的支持。

然而，一些CISO在充分參與業(yè)務(wù)的能力方面將面臨挑戰(zhàn)，許多CISO仍然需要向CIO報告。根據(jù)獵頭公司Heidrick & Struggles發(fā)布的《2021年全球首席信息安全官調(diào)查報告》發(fā)現(xiàn)，38% 的CISO向CIO報告，只有11%直接向CEO報告。這種報告結(jié)構(gòu)無疑削弱了CISO直接參與業(yè)務(wù)的能力。

Home Access Health公司IT副總裁兼安全官Pam Nigro表示，當(dāng)CISO能夠充分考慮企業(yè)整體目標(biāo)時，他們所做的事情才能獲得更多認(rèn)同，并獲得更多的支持。例如，如果CISO的美國公司想要擴(kuò)展到歐洲市場，CISO必須了解并闡明安全職能將如何通過滿足歐洲隱私法規(guī)和安全要求來實現(xiàn)企業(yè)業(yè)務(wù)目標(biāo)，而不是去詳細(xì)說明如何保護(hù)技術(shù)基礎(chǔ)設(shè)施。

強(qiáng)調(diào)正面信息

近年來，一連串備受矚目且影響深遠(yuǎn)的網(wǎng)絡(luò)事件使網(wǎng)絡(luò)安全成為董事會的頭等大事。隨著相關(guān)法規(guī)相繼出臺，以及消費(fèi)者對該領(lǐng)域的期望上升，董事會也日益關(guān)注安全性。

JWC Partners 《2021年公司董事會調(diào)查報告》發(fā)現(xiàn)，安全在董事會最關(guān)心的問題列表中排名第3，緊跟在“公司戰(zhàn)略”和“CEO/領(lǐng)導(dǎo)層繼任”問題之后。然而，與此同時，談到對該主題的理解，許多董事會成員卻表現(xiàn)得不是特別有信心。

普華永道公布的調(diào)查結(jié)果顯示，只有33%的受訪董事成員表示他們“非常了解”公司的網(wǎng)絡(luò)安全漏洞，53%的人表示他們只是“有點”了解這些漏洞，13%的受訪者將他們的理解列為“不太了解”，只有1%的人承認(rèn)他們根本不了解。

很長一段時間來，CISO一直苦惱于他們的信息被置若罔聞，他們的預(yù)算資金嚴(yán)重不足，他們被視為系統(tǒng)管理員。如今，董事會對網(wǎng)絡(luò)安全的興趣日益濃厚，這無疑為CISO提供了機(jī)會。

但Zongo建議CISO不要只關(guān)注可能出錯的地方：恐嚇強(qiáng)化了舊觀念，即安全職能是一種類似于保險的成本。

軟件公司Aquia CISO兼聯(lián)合創(chuàng)始人Chris Hughes認(rèn)為，“CISO應(yīng)該從利用恐懼、不確定性和懷疑的陳舊策略，轉(zhuǎn)變?yōu)殛P(guān)于網(wǎng)絡(luò)安全可能對業(yè)務(wù)以及更廣泛的利益相關(guān)者產(chǎn)生影響的正面信息。網(wǎng)絡(luò)安全事件可能會對財務(wù)、監(jiān)管和聲譽(yù)等方面產(chǎn)生負(fù)面影響。雖然提醒您的業(yè)務(wù)同行注意這一點很重要，但它也會帶來副作用。相反地，我們可以將信息轉(zhuǎn)化為強(qiáng)大的網(wǎng)絡(luò)安全態(tài)勢會使企業(yè)安全運(yùn)行，為客戶和利益相關(guān)者創(chuàng)造最大價值，甚至成為市場同行間的關(guān)鍵差異化因素?？偠灾?，CISO應(yīng)該展示的是通過避免網(wǎng)絡(luò)安全事件將如何促進(jìn)業(yè)務(wù)增長的正面信息。”

量化安全提供的價值

KPMG網(wǎng)絡(luò)風(fēng)險和威脅情報負(fù)責(zé)人Fred Rica表示，通過展示安全能夠為企業(yè)帶來的價值，同樣能夠幫助CISO擺脫成本中心觀念。

Rica將安全定位為“確保企業(yè)安全快速前行的剎車裝置”，而不是“減緩或關(guān)閉一切的緊急杠桿”。當(dāng)然，你可以在沒有剎車的情況下駕駛車輛，但我想結(jié)果一定不是你想要的，或者能夠承受的。

因此，CISO應(yīng)該強(qiáng)調(diào)安全性如何讓客戶與企業(yè)快速無縫地互動，讓他們知道如果出現(xiàn)問題，“剎車裝置”將能確保他們的安全。

而且，聰明的CISO知道如何表達(dá)和量化這一點。身為ISACA董事會副主席的Nigro承認(rèn)，將安全性轉(zhuǎn)化為實際價值對CISO來說極具挑戰(zhàn)性。不過，即便再艱難，CISO也應(yīng)該這樣做。她表示，“量化正在發(fā)生的事情，而不是自己消耗的成本，才是高管們和董事會成員想要看到的。”

此外，她還建議CISO與他們的財務(wù)同事合作，培養(yǎng)完成任務(wù)所需的技能;她自己就是依靠一位精算師同事來學(xué)習(xí)如何量化她的安全職能貢獻(xiàn)值。

Nigro曾在一家保險公司工作，該公司試圖通過平價醫(yī)療法案(Affordable Care Act)交易所提供保險;她計算了提供參與所需的安全性成本，以及如果她的公司在參與截止日期前沒有準(zhǔn)備好必要的安全性，來年將會損失的收入。這使她能夠從財務(wù)角度展示安全的價格如何與參與該計劃帶來的潛在收益相形見絀。

讓安全成為差異化因素

CompTIA首席技術(shù)布道師James Stanger表示，將所有這些戰(zhàn)略結(jié)合在一起的CISO能夠?qū)⑵淦髽I(yè)的安全性定位為競爭優(yōu)勢，這不僅能夠支持公司的敏捷性，而且實際上對公司的快速響應(yīng)能力至關(guān)重要。

他解釋稱，“如今的CISO更具戰(zhàn)略意義，他們應(yīng)該是為組織的成功奠定基礎(chǔ)的人。傳統(tǒng)的想法是CISO旨在確保公司免遭黑客攻擊。現(xiàn)在，CISO已經(jīng)成為擴(kuò)大業(yè)務(wù)的推動者。”

今天的CISO必須積極塑造企業(yè)內(nèi)其他人對他們及其安全團(tuán)隊的看法;他們需要與業(yè)務(wù)職能負(fù)責(zé)人合作;他們還必須能夠評估和闡明風(fēng)險，并使用這些來評估安全的價值;他們擅長將安全視為業(yè)務(wù)運(yùn)營的基礎(chǔ);他們知道如何證明安全其實是“機(jī)會中心”，而非“成本中心”。