网络安全资金与企业风险管理的紧密联系

关键要点

企业董事会在网络安全资金的购买决策中扮演了越来越重要的角色。与企业风控相结合的网络安全资金请求需要准确、基于风险的阐述。CISOs 应该寻求董事会和高管的支持，建立有效的沟通机制。在申请资金时，展示投资回报率、总体拥有成本及不实施安全技术的潜在成本至关重要。

最近，美国公司董事协会NACD和互联网安全联盟发布的最新指导意见指示董事会成员要推动“企业网络责任文化”，赋予首席信息安全官CISO必要的影响力和资源，以确保网络安全决策得到优先考虑，而不是受到成本、性能和市场速度的制约。

尽管这听起来像是CISO的梦想成真，但并不意味着董事会会毫不犹豫地放开资金。董事会和高管始终对其股东负责，因此他们会高度关注利润底线。如今，由于潜在的责任压力，他们需要准确、基于风险的资金请求，说明需求、全面拥有成本、有效性、漏洞暴露及可能性，以及若发生安全事件对企业的损失。

传统上，CISO与董事会之间的沟通并不够有效。NACD的网络风险特别顾问Chris Hetner告诉CSO，责任的加强使得董事会对风险的关注逐渐加深，结果就是董事会成员开始重视网络威胁。

蚂蚁加速官网

这一下导致CISO在表达安全项目资金需求时需要调整策略。Hetner指出，“作为投资者，我需要知道你是如何处理这些风险的，与其他风险相比，这些风险为何重要。”CISO如果提交的是不被董事会理解的技术性报告和数据，将导致沟通的失效。因此，准备一份量身定制、以业务为导向的网络风险报告至关重要，最好能够转换技术指标为易于理解的商业指标，这样才能更好地获得资金支持。

申请网络安全资金时不要孤军奋战

在资金申请过程中，CISO不应独自行动。Hetner建议与董事会及高管团队建立盟友关系，包括CFO和CEO，这些人可以帮助CISO理解商业风险，从而围绕这些风险框架申请资金。他还建议联系其他在采购和受益于资金请求的业务单元内的影响者。

寻找盟友是华盛顿省温哥华诊所的CISO Michael Bray的重要策略。他致力于让董事会和Csuite了解在网络风险和资金方面的受托责任。“谁承担风险？”他问。“董事会负责。他们也会决定风险承受能力，并提供战略方向、监督和保障安全最佳实践及支出要求，这是标准的业务运作。”这也包括理解风险评估和减缓策略，以保护资产和利益相关者，以及持续的合规努力和事件响应，他称之为与董事会沟通时的“违规管理”。

Bray努力与董事会成员及高管定期举行会议。例如，他不仅负责季度预算讨论，还每周举行一次“分层信息”讨论。他还与一些包括董事会成员的指导委员会进行沟通，以便他们能够传达他的意见。