這就是為什么說服CFO加大對網(wǎng)絡安全投資以減輕此類威脅變得困難的原因。通常，這種對話充滿了挫敗感、誤解和溝通不暢。雖然CISO將網(wǎng)絡安全視為對迫在眉睫威脅的必要防護，但CFO尋求的是可衡量的回報和切實的結果，這使得雙方都難以找到共同點。

“最困難的部分始終是彌合思維方式的差距，”網(wǎng)絡安全領導力研究所(Cyber Leadership Institute)的CISO、主席兼聯(lián)合創(chuàng)始人達倫·阿蓋爾(Darren Argyle)說道。

CFO習慣于處理具體數(shù)字、預測模型和明確可衡量的回報，但網(wǎng)絡安全并非如此運作，他補充道?！八嗍顷P于減少可能發(fā)生事件的風險，這往往意味著最好的結果是什么都沒有發(fā)生，這很難推銷出去?！?/p>

盡管一次網(wǎng)絡攻擊就能抹去數(shù)百萬美元，但CFO和CISO往往從根本不同的角度看待網(wǎng)絡安全。在安永的2025年網(wǎng)絡安全研究中，這種分歧顯而易見，該研究顯示68%的CISO擔心高級領導者低估了風險。

當CISO和CFO愿意達成妥協(xié)，將技術優(yōu)先級與財務現(xiàn)實相結合時，這種分歧的彌合就取得了進展。阿蓋爾意識到，為了推動對話前進，他必須改變自己的方法：他不再為技術辯護，而是開始展示其影響。他不再陷入技術術語的泥潭，而是從財務風險、運營中斷和底線后果的角度重新定義網(wǎng)絡安全。他還讓CFO親身體驗了風險。

“我們模擬了一個真實的勒索軟件場景，將系統(tǒng)停機時間與收入損失、合規(guī)罰款和聲譽損害聯(lián)系起來，但我們沒有使用模糊的威脅，而是使用了實際的財務模型，”他說?！癈FO不再將其視為一個安全問題，而是更多地將其視為業(yè)務連續(xù)性的保險——這就是突破點。從那以后，我們再也沒有遇到過同樣的摩擦?！?/p>

在與CFO或其他高級管理人員的對話中，阿蓋爾從不承諾傳統(tǒng)意義上的投資回報率。他謹慎地不承諾傳統(tǒng)的投資回報。他不是將網(wǎng)絡安全推銷為賺錢的方式，而是將其視為對潛在財務、法律和聲譽損害的必要防護。“網(wǎng)絡安全不是閃亮的新工具，”他說，“它是安全帶。”

在與CFO或其他高級管理人員的對話中，阿蓋爾通常將其分解為三個方面：

? 不采取行動的成本是多少?

? 這如何降低風險或加快響應速度?

? 這項投資如何支持更廣泛的業(yè)務戰(zhàn)略?

這種策略并非基于恐懼，他說，而是“將網(wǎng)絡安全視為對品牌的投資”。

選擇恰當?shù)拇朕o

關注具體事物并將網(wǎng)絡安全直接與業(yè)務成果掛鉤，可以幫助CFO看到更大的圖景。阿蓋爾在向CFO推銷紅隊演練投資時親身經(jīng)歷了這一點。最初反應是懷疑?！澳阆胱屛覀兓ㄥX攻擊自己?”短暫停頓后，阿蓋爾重新構思了提案?！安弧蚁胱屛覀冊趧e人發(fā)現(xiàn)漏洞之前先找到它們?！碧岚赋晒α??！耙坏┪矣弥鲃语L險管理來解釋，語氣就變了。”

黑曜石安全公司(Obsidian Security)的財務主管奇斯拉·拉賈戈帕蘭(Chithra Rajagopalan)認為這種方法很有價值。她建議CISO使用清晰的例子，展示“安全投資如何有助于財務規(guī)劃的穩(wěn)定性和可預測性，涵蓋風險管理(網(wǎng)絡保險、技術升級周期)、罰款減少、新市場進入的監(jiān)管批準以及為業(yè)務韌性提供網(wǎng)絡安全人員等方面”。

CISO與CFO之間的這些對話應該誠實且開放。沒有透明度，一切都會崩潰。前可口可樂和金寶湯公司CISO、CisoHive創(chuàng)始人蕾妮·古特曼(Renee Guttmann)深有體會。當她接替前CISO時，她查看了預算，很快意識到她的團隊沒有資源來兌現(xiàn)所有承諾。

“當我與CFO會面時，我更加現(xiàn)實，資源和組織影響的數(shù)字也更加具體，”古特曼說。“擁有合適的預算和計劃對我來說始終很重要?！?/p>

古特曼還建議CISO在必要時尋求外部幫助。幾次，她聘請了一家精品網(wǎng)絡安全公司來確保董事會了解風險，然后，她讓CFO信任的一家四大會計師事務所驗證了這些發(fā)現(xiàn)，以幫助消除懷疑并讓領導層參與進來?！癈FO對由他們信任的第三方審查風險、補救活動和成本感到更加舒適?！惫盘芈f。

在CISO與CFO之間建立更牢固的橋梁

重新設計CISO與CFO之間的關系并非一蹴而就，也不是通過一次會議或一杯濃咖啡就能解決的，它需要時間、相互理解和開放的對話。

正如阿蓋爾所指出的，這些討論不應僅限于預算季節(jié)，那時雙方都已處于談判模式。為了真正建立信任和一致性，CISO和CFO需要全年保持對話暢通，并努力在涉及金錢之前就了解彼此的工作。

“理想情況下，我會讓CFO參與網(wǎng)絡危機桌面模擬和場景規(guī)劃，”他補充道?！白屗麄冇H眼看到違規(guī)行為的連鎖反應——而不僅僅是在報告中閱讀。這種第一手接觸比任何PowerPoint演示都能更快地建立理解?！?/p>

阿蓋爾建議減少交易的互動，增加戰(zhàn)略性的互動，將重點從僅僅證明網(wǎng)絡安全支出的合理性轉變?yōu)榕c財務領導共同承擔風險?！斑@種轉變改變了一切，”阿蓋爾補充道。

這位CISO還建議使用CFO熟悉的語言和指標，這意味著提供與他們已經(jīng)關心的結果相關的信息，如停機時間、財務暴露和合規(guī)風險。阿蓋爾建議CISO關注每次事件的成本、基于場景的損失預測、每小時/每天的停機成本、第三方網(wǎng)絡風險暴露以及不合規(guī)的成本。只要有可能，CISO應使用基于美元的估計。

作為CFO，拉賈戈帕蘭看到了這種方法的價值?！霸诤陉资踩?，我們?yōu)樨攧疹I導者看到的一個最大的‘頓悟’時刻是，當他們展示在SaaS和GenAI工具上的快速投資與保護這些工具的等效安全投資之間的差距時。”她說。

另一種策略是將組織的安全計劃與競爭對手進行比較，這是古特曼之前做過的事情?！拔冶硎疚也幌氤蔀榫W(wǎng)絡安全態(tài)勢最差的優(yōu)秀組織之一的CISO，”她解釋道?！爱斘疫@么說時，我實際上被允許將我們的計劃與那些被視為擁有更強計劃的組織進行基準比較，包括董事會成員所在的組織。”

所有這些都歸結為一點：雖然CISO和CFO可能使用不同的語言，但他們有共同的目標：保持業(yè)務強勁。CFO不應將CISO視為障礙，而應視為提前發(fā)現(xiàn)問題并為更安全的增長鋪平道路的盟友。

“我的工作是幫助業(yè)務更快發(fā)展——但要安全地發(fā)展，”阿蓋爾說?！啊芙^部門’的刻板印象已經(jīng)過時了?！?/p>