现代CISO们肩负着保护企业免受快速演变的威胁的重任，然而网络安全预算却在不断缩减或重新分配。董事会仍倾向于将网络安全视为成本中心，而非能够提升业务效率的因素。CISO们深知真相，但他们需要找到一种方法，以董事会能够理解的语言传达网络安全的价值。

以下是在本预算季赢得董事会支持的三个建议。若能正确执行，你将更有机会确保预算获批，并使你的企业在快速变化的威胁环境中更具韧性。

建议1：量化风险

制定合理预算的第一步，是量化你试图控制的风险。作为CISO，你立刻就能明白，你的企业需要诸如增强的端点检测、零信任架构和适当的安全运营中心等，但当你在预算会议上提及这些时，董事会的成员们往往眼神呆滞。这并非他们轻视网络安全，而是他们不理解这些技术投资如何与他们关心的业务成果相关联。

因此，你应该使用财务术语来量化你企业面临的风险价值。如果董事会能够理解违规行为带来的财务影响，他们就更有可能接受你的预算。当然，如果你之前没有经历过违规事件，这可能是一项艰巨的任务。你可以通过研究所在行业最常见的威胁和违规事件、咨询威胁情报来源以及审查供应商的网络安全态势以了解你的第三方风险，从而开始了解你的风险暴露面。你还可以通过行业报告、政府统计数据和历史内部事件数据收集违规概率数据。

然而，最准确且有影响力的方法是调查你自己的专家和利益相关者，让他们参与量化过程。你可以找到手动或自动执行此操作的工具。无论采用哪种方法，你都可以计算风险对你的整体业务影响，包括直接财务损失、业务中断以及长期业务和声誉影响。

以近期Collins Aerospace的违规事件为例，该事件导致多个欧洲机场严重中断和航班取消。受影响的企业不仅遭受了直接财务损失，还产生了机会成本和效率损失：增加工程师工时以恢复系统运行、在地面采用纸笔解决方案替代自动化任务，以及机场工作人员过度劳累。利用这些代价高昂的具体事件，与你的首席财务官就财务影响建模进行对话，设想如果你的企业受到影响会怎样。

对于大多数企业而言，这是一个令人沮丧的情景，但你的董事会应该了解其全部影响。在向董事会量化风险时，你应该准备好解释最坏情况、最好情况和最可能情况的影响——均以财务损失来衡量。量化违规行为产生的连锁反应的全部范围，将有助于非技术高管理解使你的企业具有韧性所需的投资。

建议2：超越合规标准

合规与监管驱动着近80%的CISO预算说明，这已不是秘密。像HIPAA和SOC2这样的行业标准可以为项目提供指导框架，但随着AI带来的威胁不断演变、量子计算的兴起以及第三方风险日益复杂，CISO们需要考虑合规不一定能缓解的威胁。

如果可能的话，你的目标应是在3至5年的时间范围内，将预算的10%或更多分配给非合规风险。这些两位数的百分比是理想目标;平均而言，CISO的自由裁量预算为3%。这笔预算并不需要全部是新增支出。例如，生成式AI风险是CISO和董事会最为关注的问题，但专门的现成工具尚处于起步阶段。现有的预算项目，如数据安全态势管理、安全访问服务边缘(SASE)和治理、风险与合规(GRC)分析师工时，可以降低生成式AI工作负载和工具所面临的威胁风险。增加对这些技术和流程的投资，与新投资一起，为你的公司在中期内高效利用生成式AI奠定坚实基础，并限制在针对性解决方案上的新增净支出。这些投资为你的公司在竞争对手之前安全地扩大规模奠定了基础，而非陷入对AI的盲目跟风。

你的董事会希望了解你正在考虑新兴风险，以及如何在预算中主动应对这些风险。你可能没有关于特定风险的全部数据，但你仍应承认它，并帮助董事会理解其影响你企业的可能性。随着威胁环境的演变，你的策略也应随之调整，以使你的企业对这些风险具有韧性。

建议3：了解你的董事会

赢得董事会支持的部分关键在于了解哪种说服策略能驱动他们的决策。董事会对网络安全的了解日益加深;最近的一项NACD调查发现，近80%的董事会的网络安全知识有所提升。另一项调查发现，85%的公司表示，他们要么已经拥有具备网络安全专业知识的董事会成员，要么正在寻找这样的成员。现在董事会已经更加意识到网络安全的重要性，你也应迎头赶上，从商业角度理解他们所看重的东西。

有些董事会高度关注财务指标，只会审视预算的金钱方面。在这种情况下，以财务术语进行沟通至关重要;他们希望看到企业因违规导致的业务中断而可能遭受的具体损失。这种量化不仅能为你的预算提供理由;它还在你的安全团队和业务需求之间架起了桥梁。其他董事会可能更受故事叙述的激励。在这种情况下，逐步描绘攻击可能的样子及其相应影响将最具说服力。

在这两种情况下，用于辩护的预算和对话都应与你的特定董事会使用相同的语言。重要的是，对董事会所看重之物的这种深入了解，只能来自全年持续的沟通。你应该努力建立关系，这样在预算季到来时，你就不仅仅是董事会的一个待办事项。

CISO们应在安全投资决策中带来严谨性、清晰性和业务一致性。如果你能为董事会量化风险、考虑新兴风险并了解他们最看重什么，那么你将在今年秋天更好地赢得董事会的支持。

企业网D1net(www.d1net.com)：

国内头部to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。