盡管新聞頭條頻繁描述全球大規(guī)模數(shù)據(jù)泄露事件，但首席信息安全官 (CISO) 仍然難以向最高領導層證明安全投資的合理性。據(jù)Gartner稱，安全支出僅占IT總資金的5.6%左右。

無論企業(yè)領導層最終批準多少安全預算，都需要 CISO 來優(yōu)化資金分配。更多的資金可能會有所幫助，但前提是他們知道如何有效地使用資金——并且在第一次推介之前就開始計劃。讓我們仔細看看安全領導者可以采取的四個關鍵步驟，以最大限度地提高安全投資回報。

1. 評估風險、資產(chǎn)和資源

CISO 應首先徹底評估組織中既有價值又存在潛在風險的系統(tǒng)、數(shù)據(jù)和其他業(yè)務資產(chǎn)。如今，這構(gòu)成了一個不斷發(fā)展的網(wǎng)絡，優(yōu)先級將隨著時間的推移而變化，以反映業(yè)務和威脅形勢的變化。

Absolute 技術風險管理和數(shù)據(jù)隱私總監(jiān) Jo-Ann Smith 表示：“應該首先識別并記錄最需要保護的資產(chǎn)。什么對業(yè)務很重要？系統(tǒng)和數(shù)據(jù)面臨的主要威脅是什么？”

在您踏入行政辦公室或董事會會議室以倡導安全之前，就需要進行這種評估。其調(diào)查結(jié)果將為安全計劃的目標和預算建議奠定基礎。購買的技術及其所服務的需求對于每個企業(yè)來說都是獨特的。

換句話說，初步審查的結(jié)果對于不同的 CISO 可能意味著許多不同的事情。行業(yè)框架提供的通用模型可以幫助安全領導者確定優(yōu)先事項并確定特定于其業(yè)務的差距。

Cyber Risk Opportunities 首席執(zhí)行官 Kip Boyle 指出，美國國家標準與技術研究院 (NIST) 網(wǎng)絡安全框架 (CSF)是評估網(wǎng)絡風險的最佳方法。

他說：“我們發(fā)現(xiàn)，大多數(shù)公司在與供應商和客戶簽訂的賠償合同條款、反網(wǎng)絡釣魚培訓、網(wǎng)絡保險和危機管理規(guī)劃等關鍵緩解措施方面投資不足。然而，這些對于減輕現(xiàn)代網(wǎng)絡威脅都至關重要。”

2.使安全預算與業(yè)務目標保持一致

在向高管和董事會董事展示安全投資回報時，安全領導者必須講金錢的語言。安全如何為企業(yè)服務？

Carbonite 首席信息安全官拉里·弗里德曼 (Larry Friedman) 表示：“在評估如何支出時，首席信息安全官應始終與業(yè)務保持一致。安全支出應根據(jù)與確保重要業(yè)務流程連續(xù)性相關的風險來計算?！?/p>

這超出了保護數(shù)據(jù)和維護法規(guī)遵從性的范圍。尋找機會使用安全資金不僅可以緩解風險，還可以增加收入并實現(xiàn)其他業(yè)務勝利，例如提高生產(chǎn)力，有助于 CISO 將安全定位為動態(tài)業(yè)務推動者，而不是靜態(tài)成本中心。

CISO 應實施自動化安全情報和分析工具，以減少安全團隊的繁忙工作，并幫助其專注于更具戰(zhàn)略性的項目。當您分析投資機會時，不僅要考慮它們的成本，還要考慮它們可以為公司節(jié)省多少或增加價值。

3. 雇用和培訓優(yōu)秀人才

經(jīng)常令人遺憾的網(wǎng)絡安全技能差距幾乎沒有縮小的跡象。國際信息系統(tǒng)安全認證聯(lián)盟 (ISC2)最近的一份報告顯示，全球網(wǎng)絡安全技能缺口近 300 萬個職位空缺，約三分之二的企業(yè)認為他們的安全團隊人員不足。

毫無疑問，對安全計劃的最佳投資之一就是擁有高效的員工。然而，在雇主尋求人才的緊張市場中，組織可能必須向內(nèi)看并投資于培訓員工，否則他們可能不會考慮從事安全職業(yè)。

通過培訓已經(jīng)屬于組織的人員并招募他們從事安全工作，CISO 可以提供職業(yè)發(fā)展機會并建立安全團隊，同時利用員工的機構(gòu)知識。

4. 投資安全文化

有效的網(wǎng)絡安全策略必須包括每位員工都重視安全的企業(yè)文化。但信息系統(tǒng)審計與控制協(xié)會（ISACA）和能力成熟度模型集成（CMMI）研究所的《2018年網(wǎng)絡安全文化報告》發(fā)現(xiàn)，大多數(shù)組織仍在努力建立安全文化。此外，95% 的受訪者指出他們當前的網(wǎng)絡安全組織文化與理想的網(wǎng)絡安全組織文化之間存在差距。

將安全文化融入企業(yè)意味著什么？這意味著讓所有員工（從安全團隊到高管團隊）感受到對公司安全和風險狀況的投入，并采取安全行為。對安全文化的投資可以包括意識培訓、安全開發(fā)生命周期計劃以及對表現(xiàn)出合規(guī)性和報告事件的員工的獎勵等舉措。

一些數(shù)字證明了這樣做的好處：根據(jù) ISACA/CMMI 研究，報告安全文化不足的組織將其年度網(wǎng)絡安全預算的 19% 用于培訓和意識。擁有更強文化的公司平均花費的份額是其兩倍多（43%）。

ROCeteer 首席技術官 (CTO) Heather Wilde 在ISACA博客文章中介紹了研究結(jié)果，指出安全文化投資的好處不僅僅限于安全。大多數(shù)受訪者 (66%) 表示，他們的組織經(jīng)歷了網(wǎng)絡事件的減少，但王爾德指出，許多其他好處是面向客戶的：提高信任、增強聲譽和增加收入等等。

如何最好地分配安全預算的問題沒有簡單的答案，而且最佳方案因企業(yè)而異。但是，對公司當前安全態(tài)勢和文化的全面評估，以及對安全如何有利于業(yè)務目標和實現(xiàn)公司使命的評估，可以為 CISO 提供優(yōu)先投資的路線圖。