這就是為什么說(shuō)服CFO加大對(duì)網(wǎng)絡(luò)安全投資以減輕此類(lèi)威脅變得困難的原因。通常，這種對(duì)話充滿了挫敗感、誤解和溝通不暢。雖然CISO將網(wǎng)絡(luò)安全視為對(duì)迫在眉睫威脅的必要防護(hù)，但CFO尋求的是可衡量的回報(bào)和切實(shí)的結(jié)果，這使得雙方都難以找到共同點(diǎn)。

“最困難的部分始終是彌合思維方式的差距，”網(wǎng)絡(luò)安全領(lǐng)導(dǎo)力研究所(Cyber Leadership Institute)的CISO、主席兼聯(lián)合創(chuàng)始人達(dá)倫·阿蓋爾(Darren Argyle)說(shuō)道。

CFO習(xí)慣于處理具體數(shù)字、預(yù)測(cè)模型和明確可衡量的回報(bào)，但網(wǎng)絡(luò)安全并非如此運(yùn)作，他補(bǔ)充道?！八嗍顷P(guān)于減少可能發(fā)生事件的風(fēng)險(xiǎn)，這往往意味著最好的結(jié)果是什么都沒(méi)有發(fā)生，這很難推銷(xiāo)出去?！?/p>

盡管一次網(wǎng)絡(luò)攻擊就能抹去數(shù)百萬(wàn)美元，但CFO和CISO往往從根本不同的角度看待網(wǎng)絡(luò)安全。在安永的2025年網(wǎng)絡(luò)安全研究中，這種分歧顯而易見(jiàn)，該研究顯示68%的CISO擔(dān)心高級(jí)領(lǐng)導(dǎo)者低估了風(fēng)險(xiǎn)。

當(dāng)CISO和CFO愿意達(dá)成妥協(xié)，將技術(shù)優(yōu)先級(jí)與財(cái)務(wù)現(xiàn)實(shí)相結(jié)合時(shí)，這種分歧的彌合就取得了進(jìn)展。阿蓋爾意識(shí)到，為了推動(dòng)對(duì)話前進(jìn)，他必須改變自己的方法：他不再為技術(shù)辯護(hù)，而是開(kāi)始展示其影響。他不再陷入技術(shù)術(shù)語(yǔ)的泥潭，而是從財(cái)務(wù)風(fēng)險(xiǎn)、運(yùn)營(yíng)中斷和底線后果的角度重新定義網(wǎng)絡(luò)安全。他還讓CFO親身體驗(yàn)了風(fēng)險(xiǎn)。

“我們模擬了一個(gè)真實(shí)的勒索軟件場(chǎng)景，將系統(tǒng)停機(jī)時(shí)間與收入損失、合規(guī)罰款和聲譽(yù)損害聯(lián)系起來(lái)，但我們沒(méi)有使用模糊的威脅，而是使用了實(shí)際的財(cái)務(wù)模型，”他說(shuō)?！癈FO不再將其視為一個(gè)安全問(wèn)題，而是更多地將其視為業(yè)務(wù)連續(xù)性的保險(xiǎn)——這就是突破點(diǎn)。從那以后，我們?cè)僖矝](méi)有遇到過(guò)同樣的摩擦。”

在與CFO或其他高級(jí)管理人員的對(duì)話中，阿蓋爾從不承諾傳統(tǒng)意義上的投資回報(bào)率。他謹(jǐn)慎地不承諾傳統(tǒng)的投資回報(bào)。他不是將網(wǎng)絡(luò)安全推銷(xiāo)為賺錢(qián)的方式，而是將其視為對(duì)潛在財(cái)務(wù)、法律和聲譽(yù)損害的必要防護(hù)?！熬W(wǎng)絡(luò)安全不是閃亮的新工具，”他說(shuō)，“它是安全帶?！?/p>

在與CFO或其他高級(jí)管理人員的對(duì)話中，阿蓋爾通常將其分解為三個(gè)方面：

? 不采取行動(dòng)的成本是多少?

? 這如何降低風(fēng)險(xiǎn)或加快響應(yīng)速度?

? 這項(xiàng)投資如何支持更廣泛的業(yè)務(wù)戰(zhàn)略?

這種策略并非基于恐懼，他說(shuō)，而是“將網(wǎng)絡(luò)安全視為對(duì)品牌的投資”。

選擇恰當(dāng)?shù)拇朕o

關(guān)注具體事物并將網(wǎng)絡(luò)安全直接與業(yè)務(wù)成果掛鉤，可以幫助CFO看到更大的圖景。阿蓋爾在向CFO推銷(xiāo)紅隊(duì)演練投資時(shí)親身經(jīng)歷了這一點(diǎn)。最初反應(yīng)是懷疑?！澳阆胱屛覀兓ㄥX(qián)攻擊自己?”短暫停頓后，阿蓋爾重新構(gòu)思了提案?！安弧蚁胱屛覀?cè)趧e人發(fā)現(xiàn)漏洞之前先找到它們?！碧岚赋晒α?。“一旦我用主動(dòng)風(fēng)險(xiǎn)管理來(lái)解釋，語(yǔ)氣就變了?！?/p>

黑曜石安全公司(Obsidian Security)的財(cái)務(wù)主管奇斯拉·拉賈戈帕蘭(Chithra Rajagopalan)認(rèn)為這種方法很有價(jià)值。她建議CISO使用清晰的例子，展示“安全投資如何有助于財(cái)務(wù)規(guī)劃的穩(wěn)定性和可預(yù)測(cè)性，涵蓋風(fēng)險(xiǎn)管理(網(wǎng)絡(luò)保險(xiǎn)、技術(shù)升級(jí)周期)、罰款減少、新市場(chǎng)進(jìn)入的監(jiān)管批準(zhǔn)以及為業(yè)務(wù)韌性提供網(wǎng)絡(luò)安全人員等方面”。

CISO與CFO之間的這些對(duì)話應(yīng)該誠(chéng)實(shí)且開(kāi)放。沒(méi)有透明度，一切都會(huì)崩潰。前可口可樂(lè)和金寶湯公司CISO、CisoHive創(chuàng)始人蕾妮·古特曼(Renee Guttmann)深有體會(huì)。當(dāng)她接替前CISO時(shí)，她查看了預(yù)算，很快意識(shí)到她的團(tuán)隊(duì)沒(méi)有資源來(lái)兌現(xiàn)所有承諾。

“當(dāng)我與CFO會(huì)面時(shí)，我更加現(xiàn)實(shí)，資源和組織影響的數(shù)字也更加具體，”古特曼說(shuō)?！皳碛泻线m的預(yù)算和計(jì)劃對(duì)我來(lái)說(shuō)始終很重要。”

古特曼還建議CISO在必要時(shí)尋求外部幫助。幾次，她聘請(qǐng)了一家精品網(wǎng)絡(luò)安全公司來(lái)確保董事會(huì)了解風(fēng)險(xiǎn)，然后，她讓CFO信任的一家四大會(huì)計(jì)師事務(wù)所驗(yàn)證了這些發(fā)現(xiàn)，以幫助消除懷疑并讓領(lǐng)導(dǎo)層參與進(jìn)來(lái)?！癈FO對(duì)由他們信任的第三方審查風(fēng)險(xiǎn)、補(bǔ)救活動(dòng)和成本感到更加舒適?！惫盘芈f(shuō)。

在CISO與CFO之間建立更牢固的橋梁

重新設(shè)計(jì)CISO與CFO之間的關(guān)系并非一蹴而就，也不是通過(guò)一次會(huì)議或一杯濃咖啡就能解決的，它需要時(shí)間、相互理解和開(kāi)放的對(duì)話。

正如阿蓋爾所指出的，這些討論不應(yīng)僅限于預(yù)算季節(jié)，那時(shí)雙方都已處于談判模式。為了真正建立信任和一致性，CISO和CFO需要全年保持對(duì)話暢通，并努力在涉及金錢(qián)之前就了解彼此的工作。

“理想情況下，我會(huì)讓CFO參與網(wǎng)絡(luò)危機(jī)桌面模擬和場(chǎng)景規(guī)劃，”他補(bǔ)充道?！白屗麄冇H眼看到違規(guī)行為的連鎖反應(yīng)——而不僅僅是在報(bào)告中閱讀。這種第一手接觸比任何PowerPoint演示都能更快地建立理解?！?/p>

阿蓋爾建議減少交易的互動(dòng)，增加戰(zhàn)略性的互動(dòng)，將重點(diǎn)從僅僅證明網(wǎng)絡(luò)安全支出的合理性轉(zhuǎn)變?yōu)榕c財(cái)務(wù)領(lǐng)導(dǎo)共同承擔(dān)風(fēng)險(xiǎn)?！斑@種轉(zhuǎn)變改變了一切，”阿蓋爾補(bǔ)充道。

這位CISO還建議使用CFO熟悉的語(yǔ)言和指標(biāo)，這意味著提供與他們已經(jīng)關(guān)心的結(jié)果相關(guān)的信息，如停機(jī)時(shí)間、財(cái)務(wù)暴露和合規(guī)風(fēng)險(xiǎn)。阿蓋爾建議CISO關(guān)注每次事件的成本、基于場(chǎng)景的損失預(yù)測(cè)、每小時(shí)/每天的停機(jī)成本、第三方網(wǎng)絡(luò)風(fēng)險(xiǎn)暴露以及不合規(guī)的成本。只要有可能，CISO應(yīng)使用基于美元的估計(jì)。

作為CFO，拉賈戈帕蘭看到了這種方法的價(jià)值。“在黑曜石安全公司，我們?yōu)樨?cái)務(wù)領(lǐng)導(dǎo)者看到的一個(gè)最大的‘頓悟’時(shí)刻是，當(dāng)他們展示在SaaS和GenAI工具上的快速投資與保護(hù)這些工具的等效安全投資之間的差距時(shí)?！彼f(shuō)。

另一種策略是將組織的安全計(jì)劃與競(jìng)爭(zhēng)對(duì)手進(jìn)行比較，這是古特曼之前做過(guò)的事情。“我表示我不想成為網(wǎng)絡(luò)安全態(tài)勢(shì)最差的優(yōu)秀組織之一的CISO，”她解釋道?！爱?dāng)我這么說(shuō)時(shí)，我實(shí)際上被允許將我們的計(jì)劃與那些被視為擁有更強(qiáng)計(jì)劃的組織進(jìn)行基準(zhǔn)比較，包括董事會(huì)成員所在的組織?！?/p>

所有這些都?xì)w結(jié)為一點(diǎn)：雖然CISO和CFO可能使用不同的語(yǔ)言，但他們有共同的目標(biāo)：保持業(yè)務(wù)強(qiáng)勁。CFO不應(yīng)將CISO視為障礙，而應(yīng)視為提前發(fā)現(xiàn)問(wèn)題并為更安全的增長(zhǎng)鋪平道路的盟友。

“我的工作是幫助業(yè)務(wù)更快發(fā)展——但要安全地發(fā)展，”阿蓋爾說(shuō)?！啊芙^部門(mén)’的刻板印象已經(jīng)過(guò)時(shí)了?！?/p>