全美企业董事协会(NACD)和互联网安全联盟最近发布的指导意见指示董事会成员通过赋予CISO所需的影响力和资源来推动决策，在这些决策中，网络安全被有效地优先考虑，而不是服从于成本、性能和速度。

　虽然这听起来像是CISO梦想成真，但这并不意味着董事会会突然放开预算。对股东负责的董事会和高管将始终高度关注利润。只是现在，随着责任的临近，他们需要准确的、基于风险的资金申请，以限定需求、总拥有成本、有效性、违规风险敞口和可能性，以及发生违规时的业务成本。
　　
　　NACD网络风险特别顾问克里斯·赫特纳告诉记者，传统上，CISO没有很好地与董事会沟通这些信息。赫特纳也是纳斯达克卓越董事会中心的理事会成员，他指出，SEC7月份更新的网络风险管理规则涉及高级领导人的违规行为。他表示，董事会对风险的责任正在逐渐加深，其结果是，董事会正在团结起来应对网络威胁。
　　
　　Hetner继续说，这一趋势肯定会影响CISO阐明其安全项目资金需求的方式。“作为一名投资者，我需要知道与其他任何风险相比，你是如何对待这一风险的，以及它为什么重要。将这一点与CISO带来的高度技术性指标和董事会不理解的报告相比较，你会看到其中的脱节。你想要准备一份量身定做的、专注于商业的网络风险报告，最好是每季度一次，将技术指标转换为可理解的、与业务一致的指标。然后，你就可以拿到资金。”
　　
　　在申请网络安全资金时不要单打独斗
　　
　　当谈到资金申请时，CISO不应该在真空中运作。赫特纳建议在董事会和高管团队中寻找盟友，包括CFO和CEO。这些人可以帮助CISO了解围绕他们的资金请求来框定他们的资金请求的业务风险，并且通常是签署这些请求的同一人。他还建议在采购方面接触其他有影响力的人，以及将从资金申请中受益的业务部门。
　　
　　华盛顿州温哥华诊所的CISO迈克尔·布雷(MichaelBray)的关键战略是寻找盟友。到目前为止，他一直在教育董事会和CEO在网络风险和融资方面的受托责任。“谁承担风险?”他问。董事会是这样做的。他们还根据标准的业务运营，规定风险偏好，为安全最佳实践和支出要求提供战略指导、监督和治理。这延伸到了解风险评估和缓解战略，以保护资产和利益相关者，以及持续的合规努力，以及事件响应，他在向董事会发言时将其称为“违规管理”。
　　
　　Bray努力与董事会成员和高管定期和临时举行会议。例如，除了每周一次的“分级信息”会议外，他还领导着与董事会的季度预算讨论。他补充说，他还与指导委员会打成一片——其中一些委员会的董事会成员最终成为了他的代言人。
　　
　　为了加深联盟并在产业链上分享知识，他会与高管们进行短暂的短途旅行，吃午饭，或参加异地行业会议，或参加酷炫的黑客活动或令人大开眼界的演示。“想办法把那些看似无关、与预算没有直接关系的话题列入他们的日程表，”他解释道。由于这些关系，当我们有即兴的关键请求时，我们已经百分之百地支持了我们所请求的资金。
　　
　　例如，在10月份，布雷向他的领导团队简要介绍了以色列与哈马斯恐怖企业的战争对他们行动的潜在影响。他说，他的公司在其投资组合中有几个以色列支持的安全平台，他让高管们意识到了这一点。他提供了准备就绪的备用替代方案，以及他们需要走这条路线的预计成本。
　　
　　展示ROI、TCO和底线
　　
　　IANSResearch报告称，IT安全预算在2022年和2023年停滞不前并大幅削减。CyberPointConsulting创始人兼CEODDBudiharto曾在德克萨斯州几家不同的石油和天然气公司担任CISO，他指出，在这种环境下，在解决方案的生命周期内证明支出效率与风险降低和总拥有成本之间的关系是获得资金申请获得批准的关键。
　　
　　Budiharto指出，虽然可报告的ROI在网络安全支出中相对闻所未闻，但可以通过降低风险来量化额外的收益、成本降低和损失避免。例如，在不久前申请资金实施新的SIEM解决方案时，她必须克服SIEM仅用于安全警报的误解。
　　
　　她解释说：“我告诉他们，尽管资金来自安全预算，但总体来说，这对业务运营是有益的。我们展示了SIEM如何监控基础设施服务器和网络运行状况，因此基础设施团队在排除网络异常时可以更灵敏、更准确、更快。”
　　
　　Budiharto继续说，在申请资金时，计算总拥有成本(TCO)对于沟通更加重要。她指出：“我的建议中通常包含一个端到端的模式，从选择要求到运维、折旧和摊销、持续的许可费、人际交往技能以及覆盖整个解决方案生命周期的保修。”“我邀请所有利益相关者坐到谈判桌前，征求他们的要求和意见，然后再提出购买选项。这种尽职调查也适用于董事会提出的支出请求。”
　　
　　计算未实施安全技术的成本
　　
　　接受风险是董事会的特权。因此，Budiharto建议CISO计算并传达不实施解决方案的成本，包括违规或暴露的可能性，以及如果资金请求被拒绝，此类违规或暴露的全部财务影响(从直接损失到清理成本)。“对于首席财务官来说，这些节省的成本应该远远超过实施和管理解决方案的总拥有成本，”她补充道。
　　
　　综上所述，她描述了一种情况，需要在现有的EDR中添加一个新的解决方案，以阻止勒索软件在其轨道上运行，杀死它，并比现有的EDR更快、更彻底地补救它。布迪哈托解释说：“董事会会问，‘这与利润有什么关系?’所以，我计算了生产率和业务损失的收入损失，并将其乘以在当前EDR系统下试图解决勒索软件攻击的平均天数。”“这些类型的比较将帮助董事会看到大局，包括你的解决方案将如何帮助避免这笔巨额支出。”
　　
　　了解他们的风险偏好
　　
　　对于每个企业来说，如果发生最糟糕的情况，董事会愿意承担的费用有多大是不同的，这取决于业务类型和相关的风险承受能力;以及网络保险赔付、数据敏感性和监管格局等缓解因素。
　　
　　纳斯达克的赫特纳解释说，这就是他认为首席财务官和董事会之间最常见的脱节之处，因为首席财务官对风险没有容忍度，而董事会通常会容忍风险。对此，他指出，NACD的网络风险报告服务是一个第三方风险计算平台，他表示，该平台有助于将技术需求转化为企业风险，并可以帮助首席信息官传达与企业风险门槛相比最有可能造成最高财务和声誉损失的网络威胁，包括补救和修复成本。
　　
　　付费服务由安全创新公司开发的X-Analytics平台提供支持。安全系统公司运营副总裁凯尔·弗格森在展示该平台时表示：“当我们为首席信息官更新平台，以了解和沟通企业面临网络风险的情况时，最强大的用例之一是董事会报告，以实现对董事的网络风险监督。”
　　
　　在演示的基础上，该工具自动化了本文中讨论的许多步骤，并根据公司的风险容忍度对它们进行评分，这是CISO试图使用电子表格和计算器手动完成的过程。弗格森说，可视化和地图绘制有助于各方可视化地了解哪里和哪里不应该应用资源。“成功并不总是意味着更多的资金，”他补充道。“成功可能是善用你拥有的预算，把钱花在对企业真正重要的事情上。”
　　
　　编辑：Harris