這就是為什么說服CFO加大對網(wǎng)絡(luò)安全投資以減輕此類威脅變得困難的原因。通常，這種對話充滿了挫敗感、誤解和溝通不暢。雖然CISO將網(wǎng)絡(luò)安全視為對迫在眉睫威脅的必要防護(hù)，但CFO尋求的是可衡量的回報(bào)和切實(shí)的結(jié)果，這使得雙方都難以找到共同點(diǎn)。

“最困難的部分始終是彌合思維方式的差距，”網(wǎng)絡(luò)安全領(lǐng)導(dǎo)力研究所(Cyber Leadership Institute)的CISO、主席兼聯(lián)合創(chuàng)始人達(dá)倫·阿蓋爾(Darren Argyle)說道。

CFO習(xí)慣于處理具體數(shù)字、預(yù)測模型和明確可衡量的回報(bào)，但網(wǎng)絡(luò)安全并非如此運(yùn)作，他補(bǔ)充道?！八嗍顷P(guān)于減少可能發(fā)生事件的風(fēng)險(xiǎn)，這往往意味著最好的結(jié)果是什么都沒有發(fā)生，這很難推銷出去?！?/p>

盡管一次網(wǎng)絡(luò)攻擊就能抹去數(shù)百萬美元，但CFO和CISO往往從根本不同的角度看待網(wǎng)絡(luò)安全。在安永的2025年網(wǎng)絡(luò)安全研究中，這種分歧顯而易見，該研究顯示68%的CISO擔(dān)心高級(jí)領(lǐng)導(dǎo)者低估了風(fēng)險(xiǎn)。

當(dāng)CISO和CFO愿意達(dá)成妥協(xié)，將技術(shù)優(yōu)先級(jí)與財(cái)務(wù)現(xiàn)實(shí)相結(jié)合時(shí)，這種分歧的彌合就取得了進(jìn)展。阿蓋爾意識(shí)到，為了推動(dòng)對話前進(jìn)，他必須改變自己的方法：他不再為技術(shù)辯護(hù)，而是開始展示其影響。他不再陷入技術(shù)術(shù)語的泥潭，而是從財(cái)務(wù)風(fēng)險(xiǎn)、運(yùn)營中斷和底線后果的角度重新定義網(wǎng)絡(luò)安全。他還讓CFO親身體驗(yàn)了風(fēng)險(xiǎn)。

“我們模擬了一個(gè)真實(shí)的勒索軟件場景，將系統(tǒng)停機(jī)時(shí)間與收入損失、合規(guī)罰款和聲譽(yù)損害聯(lián)系起來，但我們沒有使用模糊的威脅，而是使用了實(shí)際的財(cái)務(wù)模型，”他說?！癈FO不再將其視為一個(gè)安全問題，而是更多地將其視為業(yè)務(wù)連續(xù)性的保險(xiǎn)——這就是突破點(diǎn)。從那以后，我們再也沒有遇到過同樣的摩擦?！?/p>

在與CFO或其他高級(jí)管理人員的對話中，阿蓋爾從不承諾傳統(tǒng)意義上的投資回報(bào)率。他謹(jǐn)慎地不承諾傳統(tǒng)的投資回報(bào)。他不是將網(wǎng)絡(luò)安全推銷為賺錢的方式，而是將其視為對潛在財(cái)務(wù)、法律和聲譽(yù)損害的必要防護(hù)。“網(wǎng)絡(luò)安全不是閃亮的新工具，”他說，“它是安全帶?！?/p>

在與CFO或其他高級(jí)管理人員的對話中，阿蓋爾通常將其分解為三個(gè)方面：

? 不采取行動(dòng)的成本是多少?

? 這如何降低風(fēng)險(xiǎn)或加快響應(yīng)速度?

? 這項(xiàng)投資如何支持更廣泛的業(yè)務(wù)戰(zhàn)略?

這種策略并非基于恐懼，他說，而是“將網(wǎng)絡(luò)安全視為對品牌的投資”。

選擇恰當(dāng)?shù)拇朕o

關(guān)注具體事物并將網(wǎng)絡(luò)安全直接與業(yè)務(wù)成果掛鉤，可以幫助CFO看到更大的圖景。阿蓋爾在向CFO推銷紅隊(duì)演練投資時(shí)親身經(jīng)歷了這一點(diǎn)。最初反應(yīng)是懷疑。“你想讓我們花錢攻擊自己?”短暫停頓后，阿蓋爾重新構(gòu)思了提案?！安弧蚁胱屛覀冊趧e人發(fā)現(xiàn)漏洞之前先找到它們?！碧岚赋晒α恕！耙坏┪矣弥鲃?dòng)風(fēng)險(xiǎn)管理來解釋，語氣就變了?！?/p>

黑曜石安全公司(Obsidian Security)的財(cái)務(wù)主管奇斯拉·拉賈戈帕蘭(Chithra Rajagopalan)認(rèn)為這種方法很有價(jià)值。她建議CISO使用清晰的例子，展示“安全投資如何有助于財(cái)務(wù)規(guī)劃的穩(wěn)定性和可預(yù)測性，涵蓋風(fēng)險(xiǎn)管理(網(wǎng)絡(luò)保險(xiǎn)、技術(shù)升級(jí)周期)、罰款減少、新市場進(jìn)入的監(jiān)管批準(zhǔn)以及為業(yè)務(wù)韌性提供網(wǎng)絡(luò)安全人員等方面”。

CISO與CFO之間的這些對話應(yīng)該誠實(shí)且開放。沒有透明度，一切都會(huì)崩潰。前可口可樂和金寶湯公司CISO、CisoHive創(chuàng)始人蕾妮·古特曼(Renee Guttmann)深有體會(huì)。當(dāng)她接替前CISO時(shí)，她查看了預(yù)算，很快意識(shí)到她的團(tuán)隊(duì)沒有資源來兌現(xiàn)所有承諾。

“當(dāng)我與CFO會(huì)面時(shí)，我更加現(xiàn)實(shí)，資源和組織影響的數(shù)字也更加具體，”古特曼說?！皳碛泻线m的預(yù)算和計(jì)劃對我來說始終很重要?！?/p>

古特曼還建議CISO在必要時(shí)尋求外部幫助。幾次，她聘請了一家精品網(wǎng)絡(luò)安全公司來確保董事會(huì)了解風(fēng)險(xiǎn)，然后，她讓CFO信任的一家四大會(huì)計(jì)師事務(wù)所驗(yàn)證了這些發(fā)現(xiàn)，以幫助消除懷疑并讓領(lǐng)導(dǎo)層參與進(jìn)來?！癈FO對由他們信任的第三方審查風(fēng)險(xiǎn)、補(bǔ)救活動(dòng)和成本感到更加舒適?！惫盘芈f。

在CISO與CFO之間建立更牢固的橋梁

重新設(shè)計(jì)CISO與CFO之間的關(guān)系并非一蹴而就，也不是通過一次會(huì)議或一杯濃咖啡就能解決的，它需要時(shí)間、相互理解和開放的對話。

正如阿蓋爾所指出的，這些討論不應(yīng)僅限于預(yù)算季節(jié)，那時(shí)雙方都已處于談判模式。為了真正建立信任和一致性，CISO和CFO需要全年保持對話暢通，并努力在涉及金錢之前就了解彼此的工作。

“理想情況下，我會(huì)讓CFO參與網(wǎng)絡(luò)危機(jī)桌面模擬和場景規(guī)劃，”他補(bǔ)充道?！白屗麄冇H眼看到違規(guī)行為的連鎖反應(yīng)——而不僅僅是在報(bào)告中閱讀。這種第一手接觸比任何PowerPoint演示都能更快地建立理解。”

阿蓋爾建議減少交易的互動(dòng)，增加戰(zhàn)略性的互動(dòng)，將重點(diǎn)從僅僅證明網(wǎng)絡(luò)安全支出的合理性轉(zhuǎn)變?yōu)榕c財(cái)務(wù)領(lǐng)導(dǎo)共同承擔(dān)風(fēng)險(xiǎn)?！斑@種轉(zhuǎn)變改變了一切，”阿蓋爾補(bǔ)充道。

這位CISO還建議使用CFO熟悉的語言和指標(biāo)，這意味著提供與他們已經(jīng)關(guān)心的結(jié)果相關(guān)的信息，如停機(jī)時(shí)間、財(cái)務(wù)暴露和合規(guī)風(fēng)險(xiǎn)。阿蓋爾建議CISO關(guān)注每次事件的成本、基于場景的損失預(yù)測、每小時(shí)/每天的停機(jī)成本、第三方網(wǎng)絡(luò)風(fēng)險(xiǎn)暴露以及不合規(guī)的成本。只要有可能，CISO應(yīng)使用基于美元的估計(jì)。

作為CFO，拉賈戈帕蘭看到了這種方法的價(jià)值?！霸诤陉资踩?，我們?yōu)樨?cái)務(wù)領(lǐng)導(dǎo)者看到的一個(gè)最大的‘頓悟’時(shí)刻是，當(dāng)他們展示在SaaS和GenAI工具上的快速投資與保護(hù)這些工具的等效安全投資之間的差距時(shí)?！彼f。

另一種策略是將組織的安全計(jì)劃與競爭對手進(jìn)行比較，這是古特曼之前做過的事情。“我表示我不想成為網(wǎng)絡(luò)安全態(tài)勢最差的優(yōu)秀組織之一的CISO，”她解釋道。“當(dāng)我這么說時(shí)，我實(shí)際上被允許將我們的計(jì)劃與那些被視為擁有更強(qiáng)計(jì)劃的組織進(jìn)行基準(zhǔn)比較，包括董事會(huì)成員所在的組織?！?/p>

所有這些都?xì)w結(jié)為一點(diǎn)：雖然CISO和CFO可能使用不同的語言，但他們有共同的目標(biāo)：保持業(yè)務(wù)強(qiáng)勁。CFO不應(yīng)將CISO視為障礙，而應(yīng)視為提前發(fā)現(xiàn)問題并為更安全的增長鋪平道路的盟友。

“我的工作是幫助業(yè)務(wù)更快發(fā)展——但要安全地發(fā)展，”阿蓋爾說?！啊芙^部門’的刻板印象已經(jīng)過時(shí)了?！?/p>