Security Boulevard 在2025年 4月 5日刊出一份由David Meese所寫的“Speaking the Board’s Language: A CISO’s Guide to Securing Cybersecurity Budget“。
預算季對資安長而言是一個關鍵時刻。這是安全主管必須為自己預算說明的時機,而且通常面對的是對坐滿高階經理人的董事會—他們或許不會說與資安長一樣的技術語言。事實上,最近在PwC的一份研究裡有59%的董事長承認,他們的董事會在瞭解組織網路風險的推力和影響上,其實不太有效。若少了明確、能說服人的業務導向論點,資安長就會有風險—無法供控制和減緩風險策略所用之關鍵資金,並可能會讓組織暴露於一連串不必要的網路安全後果。
今日,資安長要遵守的標準比過去更高—對內的董事會、對外的美國證券交易委員會(SEC)或其他政府監督機關皆然,他們無法讓自己、讓組織都暴露在風險之中。相對於提出典型的安全願望清單,他們必須倡導積極的網路安全策略,確保在威脅不可避免發生時的業務延續性。藉由將對話從遵循確認清單轉向將網路安全視為企業降低風險之投資,資安長可突顯其在保護營收、營運及品牌聲譽的角色。
以下是資安長在向董事會提預算需求時,可用來帶動必要轉變的三個方式。
1.避免確認表的心態
預算規劃中常見的錯誤是,將網路安全視為遵循作業—只在方格打勾,而非強化安全。雖然遵循重要,但只有確認清單是無法保證實際上減少風險或企業韌性。核准安全預算首重—依組織特殊風險局勢辨識根本的安全措施,並展現這些投資如何與更廣的企業目標一致。
為了證明支出是更明智的,資安長必須透過實際的安全影響角度,來評估遵循導向的投資。比如,若監理命令要求減少整體安全環境之影響到最低的控制,則僅如此落實是不夠的。資安長應該要量化其限制,並倡導可帶動遵循和實際風險減緩之解決方案。目標是:跳脫反應式的支出,朝向符合董事會心中企業目標的積極、風險基礎決策。
2.量化你的風險並作財務面的說明
對資安長而言,在預算討論上一大挑戰是:讓網路安全風險能具體感受到。網路風險通常是不可見的—換言之,要到外洩發生才知道—傳統的工具像熱圖(藉由將威脅色彩化作視覺化呈現),可能會誤導或過度簡化。雖然它們會提供高層次的風險領域觀點,但熱圖無法就這些風險的實際財務影響提供具體瞭解。因此重要的是,將質性風險評估(像熱圖)改為網路風險量化(CRQ),以可衡量的金錢單位來顯現威脅與減緩措施。
透過可靠、驗證過的網路風險模型來評估公司風險並量化特殊網路威脅之可能性及財務影響,安全主管可提出—陳述經過財務衡量的現實世界情境。比如,有一間公司或許每年會有5%的風險遭受平均成本1000萬美元的勒索軟體攻擊。若將風險從5%減半至2.5%的安全投資預計每年為10萬美元,則聽起來這是個明智、合理的決定~從降低的財務風險角度看,每年的投資報酬率為150%。
以財務詞彙來表達安全(比如減少的平均損失對比所需投資),資安長可為投資關鍵網路安全措施提出令人信服的說明。
3.說董事會的語言
資安長面對到的最大挑戰不僅是確保預算—還有確保決策者瞭解到為何他們需要。董事會與高階經理人不會以防火牆與威脅偵測來思考;他們在意的是業務延續性、營收保護以及投資報酬率。
然而對網路安全投資,投資報酬率典型上並非是安全專家所驗證這些投資的數字,很大程度是因為難以估算風險減緩之價值。然而,處理CRQ的新方法已經讓這件事實現。隨著現實世界流失資料驗證的模型,現在有可能產出投資報酬率數字。使用CRQ方法到風險分析上,資安長就可以用決策者懂的財務語言重新架構安全投資,包括:
*風險價值(VaR):對關鍵業務部門的網路攻擊,其潛在的財務影響為何?
*減緩風險:特定投資可降低多少財務面暴險?
*業務延續性:此投資如何協助公司在攻擊時仍維持營運?
比如,與其說「我們需要端點偵測與回應(endpoint detection and response,EDR)以強化威脅偵測」,資安長或許可說,「在勒索軟體攻擊方面,投資EDR預期會讓我們業務中斷與勒索風險從1000萬美元減少至400萬美元,省下數百萬的清理成本與營收損失。」
重要的是,藉由以這種方式說董事會懂的財務語言,並陳述網路安全投資背後的「原因」,資安長不僅可確保年度預算,亦可為真正的長期合作奠定基礎。當高階經理人掌握網路的安全策略價值時,他們就更可能在未來討論中優先重視、使其更容易與長期目標一致、為進行中的措施贏得支持,並為組織整體韌性建立共同責任感。
扭轉資安長與董事會關係的局勢
雖然資安長傳統上難以在董事會上說明自己的主張,但局勢在轉變。最近幾年廣受注目的資料外洩和日益升高的監理審查,已讓長字輩主管開始注意減緩網路風險的重要性。然而,為了完全彌平落差,資安長必須持續轉變,跳脫技術防禦的思維,將自己定位為風險顧問和策略營運主管。這就代表著學習財務語言、以金錢溝通風險,並將網路安全定位為業務延續和韌性之關鍵推手。
沒有留言:
張貼留言