全美企業董事協會(NACD)和互聯網安全聯盟最近發布的指導意見指示董事會成員通過賦予CISO所需的影響力和資源來推動決策，在這些決策中，網絡安全被有效地優先考慮，而不是服從于成本、性能和速度。

　雖然這聽起來像是CISO夢想成真，但這并不意味著董事會會突然放開預算。對股東負責的董事會和高管將始終高度關注利潤。只是現在，隨著責任的臨近，他們需要準確的、基于風險的資金申請，以限定需求、總擁有成本、有效性、違規風險敞口和可能性，以及發生違規時的業務成本。
　　
　　NACD網絡風險特別顧問克里斯·赫特納告訴記者，傳統上，CISO沒有很好地與董事會溝通這些信息。赫特納也是納斯達克卓越董事會中心的理事會成員，他指出，SEC7月份更新的網絡風險管理規則涉及高級領導人的違規行為。他表示，董事會對風險的責任正在逐漸加深，其結果是，董事會正在團結起來應對網絡威脅。
　　
　　Hetner繼續說，這一趨勢肯定會影響CISO闡明其安全項目資金需求的方式。“作為一名投資者，我需要知道與其他任何風險相比，你是如何對待這一風險的，以及它為什么重要。將這一點與CISO帶來的高度技術性指標和董事會不理解的報告相比較，你會看到其中的脫節。你想要準備一份量身定做的、專注于商業的網絡風險報告，最好是每季度一次，將技術指標轉換為可理解的、與業務一致的指標。然后，你就可以拿到資金。”
　　
　　在申請網絡安全資金時不要單打獨斗
　　
　　當談到資金申請時，CISO不應該在真空中運作。赫特納建議在董事會和高管團隊中尋找盟友，包括CFO和CEO。這些人可以幫助CISO了解圍繞他們的資金請求來框定他們的資金請求的業務風險，并且通常是簽署這些請求的同一人。他還建議在采購方面接觸其他有影響力的人，以及將從資金申請中受益的業務部門。
　　
　　華盛頓州溫哥華診所的CISO邁克爾·布雷(MichaelBray)的關鍵戰略是尋找盟友。到目前為止，他一直在教育董事會和CEO在網絡風險和融資方面的受托責任。“誰承擔風險?”他問。董事會是這樣做的。他們還根據標準的業務運營，規定風險偏好，為安全最佳實踐和支出要求提供戰略指導、監督和治理。這延伸到了解風險評估和緩解戰略，以保護資產和利益相關者，以及持續的合規努力，以及事件響應，他在向董事會發言時將其稱為“違規管理”。
　　
　　Bray努力與董事會成員和高管定期和臨時舉行會議。例如，除了每周一次的“分級信息”會議外，他還領導著與董事會的季度預算討論。他補充說，他還與指導委員會打成一片——其中一些委員會的董事會成員最終成為了他的代言人。
　　
　　為了加深聯盟并在產業鏈上分享知識，他會與高管們進行短暫的短途旅行，吃午飯，或參加異地行業會議，或參加酷炫的黑客活動或令人大開眼界的演示。“想辦法把那些看似無關、與預算沒有直接關系的話題列入他們的日程表，”他解釋道。由于這些關系，當我們有即興的關鍵請求時，我們已經百分之百地支持了我們所請求的資金。
　　
　　例如，在10月份，布雷向他的領導團隊簡要介紹了以色列與哈馬斯恐怖企業的戰爭對他們行動的潛在影響。他說，他的公司在其投資組合中有幾個以色列支持的安全平臺，他讓高管們意識到了這一點。他提供了準備就緒的備用替代方案，以及他們需要走這條路線的預計成本。
　　
　　展示ROI、TCO和底線
　　
　　IANSResearch報告稱，IT安全預算在2022年和2023年停滯不前并大幅削減。CyberPointConsulting創始人兼CEODDBudiharto曾在德克薩斯州幾家不同的石油和天然氣公司擔任CISO，他指出，在這種環境下，在解決方案的生命周期內證明支出效率與風險降低和總擁有成本之間的關系是獲得資金申請獲得批準的關鍵。
　　
　　Budiharto指出，雖然可報告的ROI在網絡安全支出中相對聞所未聞，但可以通過降低風險來量化額外的收益、成本降低和損失避免。例如，在不久前申請資金實施新的SIEM解決方案時，她必須克服SIEM僅用于安全警報的誤解。
　　
　　她解釋說：“我告訴他們，盡管資金來自安全預算，但總體來說，這對業務運營是有益的。我們展示了SIEM如何監控基礎設施服務器和網絡運行狀況，因此基礎設施團隊在排除網絡異常時可以更靈敏、更準確、更快。”
　　
　　Budiharto繼續說，在申請資金時，計算總擁有成本(TCO)對于溝通更加重要。她指出：“我的建議中通常包含一個端到端的模式，從選擇要求到運維、折舊和攤銷、持續的許可費、人際交往技能以及覆蓋整個解決方案生命周期的保修。”“我邀請所有利益相關者坐到談判桌前，征求他們的要求和意見，然后再提出購買選項。這種盡職調查也適用于董事會提出的支出請求。”
　　
　　計算未實施安全技術的成本
　　
　　接受風險是董事會的特權。因此，Budiharto建議CISO計算并傳達不實施解決方案的成本，包括違規或暴露的可能性，以及如果資金請求被拒絕，此類違規或暴露的全部財務影響(從直接損失到清理成本)。“對于首席財務官來說，這些節省的成本應該遠遠超過實施和管理解決方案的總擁有成本，”她補充道。
　　
　　綜上所述，她描述了一種情況，需要在現有的EDR中添加一個新的解決方案，以阻止勒索軟件在其軌道上運行，殺死它，并比現有的EDR更快、更徹底地補救它。布迪哈托解釋說：“董事會會問，‘這與利潤有什么關系?’所以，我計算了生產率和業務損失的收入損失，并將其乘以在當前EDR系統下試圖解決勒索軟件攻擊的平均天數。”“這些類型的比較將幫助董事會看到大局，包括你的解決方案將如何幫助避免這筆巨額支出。”
　　
　　了解他們的風險偏好
　　
　　對于每個企業來說，如果發生最糟糕的情況，董事會愿意承擔的費用有多大是不同的，這取決于業務類型和相關的風險承受能力;以及網絡保險賠付、數據敏感性和監管格局等緩解因素。
　　
　　納斯達克的赫特納解釋說，這就是他認為首席財務官和董事會之間最常見的脫節之處，因為首席財務官對風險沒有容忍度，而董事會通常會容忍風險。對此，他指出，NACD的網絡風險報告服務是一個第三方風險計算平臺，他表示，該平臺有助于將技術需求轉化為企業風險，并可以幫助首席信息官傳達與企業風險門檻相比最有可能造成最高財務和聲譽損失的網絡威脅，包括補救和修復成本。
　　
　　付費服務由安全創新公司開發的X-Analytics平臺提供支持。安全系統公司運營副總裁凱爾·弗格森在展示該平臺時表示：“當我們為首席信息官更新平臺，以了解和溝通企業面臨網絡風險的情況時，最強大的用例之一是董事會報告，以實現對董事的網絡風險監督。”
　　
　　在演示的基礎上，該工具自動化了本文中討論的許多步驟，并根據公司的風險容忍度對它們進行評分，這是CISO試圖使用電子表格和計算器手動完成的過程。弗格森說，可視化和地圖繪制有助于各方可視化地了解哪里和哪里不應該應用資源。“成功并不總是意味著更多的資金，”他補充道。“成功可能是善用你擁有的預算，把錢花在對企業真正重要的事情上。”
　　
　　編輯：Harris