我的编程空间,编程开发者的网络收藏夹
学习永远不晚

改善首席信息安全官和首席财务官关系的七个技巧

短信预约 -IT技能 免费直播动态提醒
省份

北京

  • 北京
  • 上海
  • 天津
  • 重庆
  • 河北
  • 山东
  • 辽宁
  • 黑龙江
  • 吉林
  • 甘肃
  • 青海
  • 河南
  • 江苏
  • 湖北
  • 湖南
  • 江西
  • 浙江
  • 广东
  • 云南
  • 福建
  • 海南
  • 山西
  • 四川
  • 陕西
  • 贵州
  • 安徽
  • 广西
  • 内蒙
  • 西藏
  • 新疆
  • 宁夏
  • 兵团
手机号立即预约

请填写图片验证码后获取短信验证码

看不清楚,换张图片

免费获取短信验证码

改善首席信息安全官和首席财务官关系的七个技巧

事实表明,首席信息安全官和首席财务官达成密切合作关系将有助于确保企业拥有适合其风险状况的资源。

每位首席安全执行官都知道,其工作中最重要(或许也是最具挑战性)的方面之一是获得支持网络安全计划所需的资金。企业负责制定预算的主管通常是首席财务官,因此首席信息安全官需要了解与首席财务官更好地进行互动的最佳方式。

马里兰州政府首席信息安全官Arthur Treichel表示:“首席财务官/财务主管和首席信息安全官的关系对于了解企业如何衡量成功至关重要,这有助于首席信息安全官如何更好地衡量和传达其面临的网络威胁。”

以下是企业的首席信息安全官在与首席财务官合作时的一些最佳实践:

1.掌握首席财务官的语言

研究机构IDC公司安全与信任项目副总裁Frank Dickson表示,首席信息安全官在描述网络安全带来的威胁时,喜欢使用与网络安全活动相关的指标。其中包括诸如处理的警报数量、平均响应时间、平均修复时间和停留时间等指标。

这些是首席财务官不太可能感兴趣的内容,因此首席信息安全在与首席财务官的讨论中谈到这些概念毫无意义。Dickson说,“首席财务官希望了解与风险和安全状况相关的指标,在本质上,首席财务官想知道企业的业务是否‘安全’。传达安全活动的威胁信息让首席财务官感到沮丧,因为他们没有获得想要的信息。”

Dickson说,明智的一个做法是让首席信息安全官和首席财务官一起来建立一套传达所需信息的指标。他说,“这并不意味着首席信息安全官会向首席财务官教授所有关于网络安全的知识,而是意味着首席信息安全官改变与首席财务官沟通的方式。”

风险投资商YLVentures公司的运营合伙人、前首席安全官Andy Ellis表示,对于企业的安全主管来说,与首席财务官进行沟通有时会让人觉得是一种挑战。“首席财务官似乎掌握着一个完全是记录真实数据的领域。另一方面,首席信息安全官通常采用专业的术语谈论风险,因此他们要掌握首席财务官的语言,改变与首席财务官沟通的方式。”

2.利用数据丰富的经济模型来量化风险

首席信息安全官应尽可能使用经济模型向首席财务官解释网络威胁带来的风险。人力资本管理产品提供商Paychex公司副总裁兼首席信息安全官Bradley Schaufenbuel表示,采用经济信息风险模型,例如FAI RInstitute的信息风险因素分析(FAIR),首席信息安全官可以用财务术语来表达网络安全的风险,首席财务官以及其他执行团队和董事会将会很容易理解。采用经济模型来量化信息风险具有额外的好处,可以确保优先考虑降低最有影响的风险,并优化网络安全支出,这最终是首席财务官想要首席信息安全官提供的信息。

他说,“经济模型应该有丰富的数据。由于他们的工作性质,大多数首席财务官都会做出数据驱动的决策,而数据比主观意见或预感更客观,更难以操纵。在提高向首席财务官以及其他企业高管传达信息的有效性方面,可以采取的最好方法之一是采用相关数据支持提出的观点。”

3.定期沟通

一旦首席信息安全官掌握了首席财务官的语言,定期沟通是明智之举。频繁的互动有助于让首席财务官了解最新的网络安全威胁、漏洞、工具、标准等,并使首席信息安全官了解企业的财务/预算情况。

鉴于安全形势瞬息万变,新威胁不断出现,新解决方案进入市场,这一点尤其如此。Dickson说,“沟通需要主动和频繁,但也要简洁明了。”他表示,首席财务官对于成为网络安全专家不感兴趣,他们只想确保企业的业务受到安全保护,并且想了解企业面临的风险状况。

4.学习一些财务知识

仅仅使用财务模型来传达网络安全的价值是不够的;首席信息安全官需要了解财务部门的运作方式,以便与首席财务官有效合作。Schaufenbuel说,“首席信息安全官需要具备财务知识。如果不了解损益表和资产负债表之间的区别以及运营费用和资本投资之间的细微差别,那么将很难获得企业高管的尊重,尤其是首席财务官。”

Schaufenbuel表示,首席信息安全官获得MBA学位将会成为对自己职业发展的最佳投资。他说,“在没有金融领域学位的情况下,了解一些基本会计和财务概念要比试图在没有金融知识的情况下为企业高管进行解释要好得多。”

当然,首席信息安全官可以帮助对财务主管及其团队进行基本安全问题的教育,而不会陷入困境。Treichel说,“在某些情况下,对首席信息安全官来说,与首席财务官或财务主管达成最佳合作关系始于安全事件。因为财务部门是网络攻击者理想的目标,而针对可以授权交易的员工的网络钓鱼和恶意软件活动非常普遍。首席信息安全官可以花费更多时间教育财务部门的员工并与他们合作来降低风险,并与首席财务官建立更好的合作关系。”

5.了解预算流程

在大多数企业中,首席财务官无法控制额外的预算。Ellis表示,他们需要控制预算过程。他说,“这是一个微妙但十分重要的过程。如果企业有一个年度预算周期,其年度预算在当年11月之前确定,那么起草预算的过程将会持续数月。如果在11月提出新的预算请求,那么将会遭到拒绝,无论其需求有多重要。”

他表示,很多企业因为意外而推迟了一些预算,在流程之外工作,那么可能会让一些人的工作陷入困境。

当首席信息安全官由于一些意外的紧迫性而必须在流程之外工作时,他们需要了解这造成的困难,并了解他们是否可以提供帮助。Ellis说,“一个部门如果需要获得计划之外的资金,那么很可能挤占其他部门的预算。”

6.不要忽视计划

良好的网络安全规划本身就很重要,但对于与首席财务官和其他财务主管打交道来说尤其重要。Dickson说,“首席财务官最不希望看到的是财政年度结束时出现的意外开支。”

定期更新计划是一个好主意,其中包括与安全工具和服务的新投资相关的任何内容。企业还需要做好未来的规划。Dickson表示,典型的12个月IT规划周期已不再选用。他说,“企业的IT规划需要成为持续数年的长久规划,并且要涵盖IT和安全领域。”

Dickson表示,多年规划不仅可以提高安全的有效性,还可以增加可预测性。他说,“这样做的话,意外开支的威胁将显著减少,即使出现意外支出,首席财务官可以为此做好准备。”

7.主观和客观分析相分离

Ellis说,“除了欺诈等少数狭隘领域外,几乎所有的安全分析都是主观的。即使是表面上的定量方法实际上也只是主观分析。”

Ellis表示,这并不是安全团队独有的。财务团队的预测通常包含一些主观性。但具有主观性的财务分析通常会被调用、仔细识别并在事后检查是否不准确。

另一方面,安全猜测很少用于批判性分析。他说,“首席信息安全官谈论安全投资的回报时,会使用凭空猜测的可能性,然后在没有出现问题的情况下获得信任,而如果出现问题则将责任归咎于他人。首席信息安全官在与首席财务官交谈时,承认预测中的猜测是对话的开始,并且不要夸大预测能力。首席信息安全官需要掌握与首席财务官会话的技巧,这样就会让首席财务官成为对其面临的挑战更有同情心的合作伙伴。”

 

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

改善首席信息安全官和首席财务官关系的七个技巧

下载Word文档到电脑,方便收藏和打印~

下载Word文档

猜你喜欢

改善首席信息安全官和首席财务官关系的七个技巧

首席财务官/财务主管和首席信息安全官的关系对于了解企业如何衡量成功至关重要,这有助于首席信息安全官如何更好地衡量和传达其面临的网络威胁。

如何增进首席信息官和首席财务官的关系

在过去的10年中,首席信息官和首席财务官之间的关系已经发生了一些变化。那么这些变化是什么?如何影响企业的发展动态?

正确处理首席信息官和首席财务官之间关系的四个秘诀

首席信息官和首席财务官在建立双方合作关系时应注意这种差异,随着 IT 地位的提高,这种关系变得更加紧密。

首席信息官的七个变革管理技巧

对于首席信息官和IT领导者来说,能够引领组织的变革是一项关键技能,尤其是现在。

成为首席信息安全官的七个理由

首席信息安全官的一些工作可能会很难处理,因为面临挑战、困难和复杂情况。首席信息安全官的考验和磨难包括保护企业最有价值的资产(主要是数据)免受不断变化的网络威胁、遵循复杂而严格的监管要求、平衡安全与关键业务需求,以及应对安全技能和人才短缺问题

首席信息安全官和首席风险官最关注的威胁和挑战是什么?

调查发现,人才保留与企业存储信息的方式直接相关。事实上,采用云平台可以让企业在招聘和留住具有网络风险和安全技能的人才方面拥有一些优势。

大多数首席信息官和首席信息安全官低估了运营技术违规的风险

很多企业低估了网络攻击的风险,73%的首席信息官和首席信息安全官都认为他们所在的公司在未来一年不会遭受运营技术攻击。

首席信息安全官充分利用安全预算的四个技巧

本文让我们仔细看看安全领导者可以采取的四个关键步骤,以最大限度地提高安全投资回报。

七个首席信息安全官继任计划的优秀实践

没有计划可能面临失败。这意味着,在各种类型的组织和环境中,首席信息安全官都应帮助企业从战略上为他们最终的离职和更换做好准备。

首席信息安全官获得成功的5个关键品质

企业的业务成功与信息安全的成功息息相关。因此,现代首席信息安全官需要一套独特的特性来使有效的数据安全策略、流程和实践与各种业务需求和要求保持一致。

为什么首席信息安全官需要精通业务和技术

调查还表明,只有一小部分首席信息安全官(主要在财富500强企业工作)由于兼具业务和技术职责而晋升为董事会成员。在调查中,三分之二以上的首席信息安全官为市值超过50亿美元的企业工作。因此,与其指责首席信息安全官缺乏IT技能,还不如为即将上任的

网络安全诉讼风险:首席信息安全官最关心的四个问题

网络安全诉讼的威胁足以让企业领导者彻夜难眠,而数据保护、隐私和网络安全法规的日益普及正在给首席信息安全官带来巨大的压力。

首席信息安全官在2022年得到的14个经验和教训

每个人都有自己的方法来分析这一年并反思发生的事情,这一举措可以为未来提供宝贵的知识,因此人们需要了解一些首席信息安全官在今年学到的经验和教训。

边缘基础设施:首席信息官应该了解有关安全性的七个关键事实

安全因素如何影响企业的边缘计算策略?可以考虑一些事实来指导其计划。

首席信息安全官与供应商建立良好合作关系的秘诀

首席信息安全官与供应商建立并保持尽可能良好的合作伙伴关系,特别是考虑到与现代企业合作的供应商数量正在不断增加。但是,这样做需要更多的时间和精力,需要考虑各种因素。

首席信息安全官面临的七个威胁检测挑战及其应对措施

首席信息安全官确保威胁检测、调查和响应的安全运营计划以最佳性能执行。以下了解可能影响企业检测、调查和响应计划的七个关键问题,以及首席信息安全官应考虑向其企业、安全运营团队以及提供解决方案的供应商提出的一些问题。

首席信息安全官必须应对的十个NFT和加密货币安全风险

加密货币和NFT在许多企业的议程上讨论Web3的影响及其带来的机会。互联网发展的这一新的重大转变有望使人们的数字世界去中心化,为用户提供更多的控制权和更透明的信息流。

从小型企业首席信息安全官调查中提取的五个关注点

国外安全网站广告提到Cynet 的 2022 年调查分析了来自小型安全团队的 200 名 CISO 的问答,以了解其在计划来年时如何制定预算、安全技术和战略决策。

确保数据和人才安全是印度首席信息官如今最关心的问题

调研机构Gartner公司最近对技术高管的一项调查表明,网络安全将在未来一年继续成为印度企业首席信息官的首要任务。

优秀的首席信息安全官如何利用人才和技术而成为超级明星

企业需要投资于提高员工的网络安全技能。与尝试从外部招聘新人相比,投资培训企业内部具有才能并且忠诚的员工要好得多,而且通常也更容易。但即便如此,将这些学习资源放在最好的地方,以获得所需的结果是关键。

编程热搜

  • Python 学习之路 - Python
    一、安装Python34Windows在Python官网(https://www.python.org/downloads/)下载安装包并安装。Python的默认安装路径是:C:\Python34配置环境变量:【右键计算机】--》【属性】-
    Python 学习之路 - Python
  • chatgpt的中文全称是什么
    chatgpt的中文全称是生成型预训练变换模型。ChatGPT是什么ChatGPT是美国人工智能研究实验室OpenAI开发的一种全新聊天机器人模型,它能够通过学习和理解人类的语言来进行对话,还能根据聊天的上下文进行互动,并协助人类完成一系列
    chatgpt的中文全称是什么
  • C/C++中extern函数使用详解
  • C/C++可变参数的使用
    可变参数的使用方法远远不止以下几种,不过在C,C++中使用可变参数时要小心,在使用printf()等函数时传入的参数个数一定不能比前面的格式化字符串中的’%’符号个数少,否则会产生访问越界,运气不好的话还会导致程序崩溃
    C/C++可变参数的使用
  • css样式文件该放在哪里
  • php中数组下标必须是连续的吗
  • Python 3 教程
    Python 3 教程 Python 的 3.0 版本,常被称为 Python 3000,或简称 Py3k。相对于 Python 的早期版本,这是一个较大的升级。为了不带入过多的累赘,Python 3.0 在设计的时候没有考虑向下兼容。 Python
    Python 3 教程
  • Python pip包管理
    一、前言    在Python中, 安装第三方模块是通过 setuptools 这个工具完成的。 Python有两个封装了 setuptools的包管理工具: easy_install  和  pip , 目前官方推荐使用 pip。    
    Python pip包管理
  • ubuntu如何重新编译内核
  • 改善Java代码之慎用java动态编译

目录