这就是为什么说服CFO加大对网络安全投资以减轻此类威胁变得困难的原因。通常，这种对话充满了挫败感、误解和沟通不畅。虽然CISO将网络安全视为对迫在眉睫威胁的必要防护，但CFO寻求的是可衡量的回报和切实的结果，这使得双方都难以找到共同点。

“最困难的部分始终是弥合思维方式的差距，”网络安全领导力研究所(Cyber Leadership Institute)的CISO、主席兼联合创始人达伦·阿盖尔(Darren Argyle)说道。

CFO习惯于处理具体数字、预测模型和明确可衡量的回报，但网络安全并非如此运作，他补充道。“它更多是关于减少可能发生事件的风险，这往往意味着最好的结果是什么都没有发生，这很难推销出去。”

尽管一次网络攻击就能抹去数百万美元，但CFO和CISO往往从根本不同的角度看待网络安全。在安永的2025年网络安全研究中，这种分歧显而易见，该研究显示68%的CISO担心高级领导者低估了风险。

当CISO和CFO愿意达成妥协，将技术优先级与财务现实相结合时，这种分歧的弥合就取得了进展。阿盖尔意识到，为了推动对话前进，他必须改变自己的方法：他不再为技术辩护，而是开始展示其影响。他不再陷入技术术语的泥潭，而是从财务风险、运营中断和底线后果的角度重新定义网络安全。他还让CFO亲身体验了风险。

“我们模拟了一个真实的勒索软件场景，将系统停机时间与收入损失、合规罚款和声誉损害联系起来，但我们没有使用模糊的威胁，而是使用了实际的财务模型，”他说。“CFO不再将其视为一个安全问题，而是更多地将其视为业务连续性的保险——这就是突破点。从那以后，我们再也没有遇到过同样的摩擦。”

在与CFO或其他高级管理人员的对话中，阿盖尔从不承诺传统意义上的投资回报率。他谨慎地不承诺传统的投资回报。他不是将网络安全推销为赚钱的方式，而是将其视为对潜在财务、法律和声誉损害的必要防护。“网络安全不是闪亮的新工具，”他说，“它是安全带。”

在与CFO或其他高级管理人员的对话中，阿盖尔通常将其分解为三个方面：

• 不采取行动的成本是多少?

• 这如何降低风险或加快响应速度?

• 这项投资如何支持更广泛的业务战略?

这种策略并非基于恐惧，他说，而是“将网络安全视为对品牌的投资”。

选择恰当的措辞

关注具体事物并将网络安全直接与业务成果挂钩，可以帮助CFO看到更大的图景。阿盖尔在向CFO推销红队演练投资时亲身经历了这一点。最初反应是怀疑。“你想让我们花钱攻击自己?”短暂停顿后，阿盖尔重新构思了提案。“不——我想让我们在别人发现漏洞之前先找到它们。”提案成功了。“一旦我用主动风险管理来解释，语气就变了。”

黑曜石安全公司(Obsidian Security)的财务主管奇斯拉·拉贾戈帕兰(Chithra Rajagopalan)认为这种方法很有价值。她建议CISO使用清晰的例子，展示“安全投资如何有助于财务规划的稳定性和可预测性，涵盖风险管理(网络保险、技术升级周期)、罚款减少、新市场进入的监管批准以及为业务韧性提供网络安全人员等方面”。

CISO与CFO之间的这些对话应该诚实且开放。没有透明度，一切都会崩溃。前可口可乐和金宝汤公司CISO、CisoHive创始人蕾妮·古特曼(Renee Guttmann)深有体会。当她接替前CISO时，她查看了预算，很快意识到她的团队没有资源来兑现所有承诺。

“当我与CFO会面时，我更加现实，资源和组织影响的数字也更加具体，”古特曼说。“拥有合适的预算和计划对我来说始终很重要。”

古特曼还建议CISO在必要时寻求外部帮助。几次，她聘请了一家精品网络安全公司来确保董事会了解风险，然后，她让CFO信任的一家四大会计师事务所验证了这些发现，以帮助消除怀疑并让领导层参与进来。“CFO对由他们信任的第三方审查风险、补救活动和成本感到更加舒适。”古特曼说。

在CISO与CFO之间建立更牢固的桥梁

重新设计CISO与CFO之间的关系并非一蹴而就，也不是通过一次会议或一杯浓咖啡就能解决的，它需要时间、相互理解和开放的对话。

正如阿盖尔所指出的，这些讨论不应仅限于预算季节，那时双方都已处于谈判模式。为了真正建立信任和一致性，CISO和CFO需要全年保持对话畅通，并努力在涉及金钱之前就了解彼此的工作。

“理想情况下，我会让CFO参与网络危机桌面模拟和场景规划，”他补充道。“让他们亲眼看到违规行为的连锁反应——而不仅仅是在报告中阅读。这种第一手接触比任何PowerPoint演示都能更快地建立理解。”

阿盖尔建议减少交易的互动，增加战略性的互动，将重点从仅仅证明网络安全支出的合理性转变为与财务领导共同承担风险。“这种转变改变了一切，”阿盖尔补充道。

这位CISO还建议使用CFO熟悉的语言和指标，这意味着提供与他们已经关心的结果相关的信息，如停机时间、财务暴露和合规风险。阿盖尔建议CISO关注每次事件的成本、基于场景的损失预测、每小时/每天的停机成本、第三方网络风险暴露以及不合规的成本。只要有可能，CISO应使用基于美元的估计。

作为CFO，拉贾戈帕兰看到了这种方法的价值。“在黑曜石安全公司，我们为财务领导者看到的一个最大的‘顿悟’时刻是，当他们展示在SaaS和GenAI工具上的快速投资与保护这些工具的等效安全投资之间的差距时。”她说。

另一种策略是将组织的安全计划与竞争对手进行比较，这是古特曼之前做过的事情。“我表示我不想成为网络安全态势最差的优秀组织之一的CISO，”她解释道。“当我这么说时，我实际上被允许将我们的计划与那些被视为拥有更强计划的组织进行基准比较，包括董事会成员所在的组织。”

所有这些都归结为一点：虽然CISO和CFO可能使用不同的语言，但他们有共同的目标：保持业务强劲。CFO不应将CISO视为障碍，而应视为提前发现问题并为更安全的增长铺平道路的盟友。

“我的工作是帮助业务更快发展——但要安全地发展，”阿盖尔说。“‘拒绝部门’的刻板印象已经过时了。”

企业网D1net(www.d1net.com)：

国内主流的to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。