改善首席信息安全官和首席财务官关系的七个技巧
事实表明,首席信息安全官和首席财务官达成密切合作关系将有助于确保企业拥有适合其风险状况的资源。
每位首席安全执行官都知道,其工作中最重要(或许也是最具挑战性)的方面之一是获得支持网络安全计划所需的资金。企业负责制定预算的主管通常是首席财务官,因此首席信息安全官需要了解与首席财务官更好地进行互动的最佳方式。
马里兰州政府首席信息安全官Arthur Treichel表示:“首席财务官/财务主管和首席信息安全官的关系对于了解企业如何衡量成功至关重要,这有助于首席信息安全官如何更好地衡量和传达其面临的网络威胁。”
以下是企业的首席信息安全官在与首席财务官合作时的一些最佳实践:
1.掌握首席财务官的语言
研究机构IDC公司安全与信任项目副总裁Frank Dickson表示,首席信息安全官在描述网络安全带来的威胁时,喜欢使用与网络安全活动相关的指标。其中包括诸如处理的警报数量、平均响应时间、平均修复时间和停留时间等指标。
这些是首席财务官不太可能感兴趣的内容,因此首席信息安全在与首席财务官的讨论中谈到这些概念毫无意义。Dickson说,“首席财务官希望了解与风险和安全状况相关的指标,在本质上,首席财务官想知道企业的业务是否‘安全’。传达安全活动的威胁信息让首席财务官感到沮丧,因为他们没有获得想要的信息。”
Dickson说,明智的一个做法是让首席信息安全官和首席财务官一起来建立一套传达所需信息的指标。他说,“这并不意味着首席信息安全官会向首席财务官教授所有关于网络安全的知识,而是意味着首席信息安全官改变与首席财务官沟通的方式。”
风险投资商YLVentures公司的运营合伙人、前首席安全官Andy Ellis表示,对于企业的安全主管来说,与首席财务官进行沟通有时会让人觉得是一种挑战。“首席财务官似乎掌握着一个完全是记录真实数据的领域。另一方面,首席信息安全官通常采用专业的术语谈论风险,因此他们要掌握首席财务官的语言,改变与首席财务官沟通的方式。”
2.利用数据丰富的经济模型来量化风险
首席信息安全官应尽可能使用经济模型向首席财务官解释网络威胁带来的风险。人力资本管理产品提供商Paychex公司副总裁兼首席信息安全官Bradley Schaufenbuel表示,采用经济信息风险模型,例如FAI RInstitute的信息风险因素分析(FAIR),首席信息安全官可以用财务术语来表达网络安全的风险,首席财务官以及其他执行团队和董事会将会很容易理解。采用经济模型来量化信息风险具有额外的好处,可以确保优先考虑降低最有影响的风险,并优化网络安全支出,这最终是首席财务官想要首席信息安全官提供的信息。
他说,“经济模型应该有丰富的数据。由于他们的工作性质,大多数首席财务官都会做出数据驱动的决策,而数据比主观意见或预感更客观,更难以操纵。在提高向首席财务官以及其他企业高管传达信息的有效性方面,可以采取的最好方法之一是采用相关数据支持提出的观点。”
3.定期沟通
一旦首席信息安全官掌握了首席财务官的语言,定期沟通是明智之举。频繁的互动有助于让首席财务官了解最新的网络安全威胁、漏洞、工具、标准等,并使首席信息安全官了解企业的财务/预算情况。
鉴于安全形势瞬息万变,新威胁不断出现,新解决方案进入市场,这一点尤其如此。Dickson说,“沟通需要主动和频繁,但也要简洁明了。”他表示,首席财务官对于成为网络安全专家不感兴趣,他们只想确保企业的业务受到安全保护,并且想了解企业面临的风险状况。
4.学习一些财务知识
仅仅使用财务模型来传达网络安全的价值是不够的;首席信息安全官需要了解财务部门的运作方式,以便与首席财务官有效合作。Schaufenbuel说,“首席信息安全官需要具备财务知识。如果不了解损益表和资产负债表之间的区别以及运营费用和资本投资之间的细微差别,那么将很难获得企业高管的尊重,尤其是首席财务官。”
Schaufenbuel表示,首席信息安全官获得MBA学位将会成为对自己职业发展的最佳投资。他说,“在没有金融领域学位的情况下,了解一些基本会计和财务概念要比试图在没有金融知识的情况下为企业高管进行解释要好得多。”
当然,首席信息安全官可以帮助对财务主管及其团队进行基本安全问题的教育,而不会陷入困境。Treichel说,“在某些情况下,对首席信息安全官来说,与首席财务官或财务主管达成最佳合作关系始于安全事件。因为财务部门是网络攻击者理想的目标,而针对可以授权交易的员工的网络钓鱼和恶意软件活动非常普遍。首席信息安全官可以花费更多时间教育财务部门的员工并与他们合作来降低风险,并与首席财务官建立更好的合作关系。”
5.了解预算流程
在大多数企业中,首席财务官无法控制额外的预算。Ellis表示,他们需要控制预算过程。他说,“这是一个微妙但十分重要的过程。如果企业有一个年度预算周期,其年度预算在当年11月之前确定,那么起草预算的过程将会持续数月。如果在11月提出新的预算请求,那么将会遭到拒绝,无论其需求有多重要。”
他表示,很多企业因为意外而推迟了一些预算,在流程之外工作,那么可能会让一些人的工作陷入困境。
当首席信息安全官由于一些意外的紧迫性而必须在流程之外工作时,他们需要了解这造成的困难,并了解他们是否可以提供帮助。Ellis说,“一个部门如果需要获得计划之外的资金,那么很可能挤占其他部门的预算。”
6.不要忽视计划
良好的网络安全规划本身就很重要,但对于与首席财务官和其他财务主管打交道来说尤其重要。Dickson说,“首席财务官最不希望看到的是财政年度结束时出现的意外开支。”
定期更新计划是一个好主意,其中包括与安全工具和服务的新投资相关的任何内容。企业还需要做好未来的规划。Dickson表示,典型的12个月IT规划周期已不再选用。他说,“企业的IT规划需要成为持续数年的长久规划,并且要涵盖IT和安全领域。”
Dickson表示,多年规划不仅可以提高安全的有效性,还可以增加可预测性。他说,“这样做的话,意外开支的威胁将显著减少,即使出现意外支出,首席财务官可以为此做好准备。”
7.主观和客观分析相分离
Ellis说,“除了欺诈等少数狭隘领域外,几乎所有的安全分析都是主观的。即使是表面上的定量方法实际上也只是主观分析。”
Ellis表示,这并不是安全团队独有的。财务团队的预测通常包含一些主观性。但具有主观性的财务分析通常会被调用、仔细识别并在事后检查是否不准确。
另一方面,安全猜测很少用于批判性分析。他说,“首席信息安全官谈论安全投资的回报时,会使用凭空猜测的可能性,然后在没有出现问题的情况下获得信任,而如果出现问题则将责任归咎于他人。首席信息安全官在与首席财务官交谈时,承认预测中的猜测是对话的开始,并且不要夸大预测能力。首席信息安全官需要掌握与首席财务官会话的技巧,这样就会让首席财务官成为对其面临的挑战更有同情心的合作伙伴。”
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341