CISO如何用财务语言论证安全投资价值

在采访中，何用CBIZ的财务董事总经理John Verry讨论了保险公司和金融风险专业人员如何通过不同的视角来评估网络安全成熟度，他还展示了如何将网络风险以商业术语表述，论证以增强投资理由，安全并将网络安全提升为战略驱动力。投资

网络安全成熟度的评估因利益相关者而异，有效的何用项目必须考虑到这些不同的视角 。金融风险专业人员从企业风险管理(ERM)的财务角度来评估
，考量网络风险如何被识别
、模板下载论证缓解 ，安全以及如何与财务 、投资运营和监管影响保持一致，价值另一方面，何用网络责任保险公司则基于对网络安全事件的财务暴露程度来评估成熟度 ，使用自我评估、论证第三方评估、外部扫描 、文件审查 ，有时还有访谈来估算事件发生的可能性和成本。

好消息是：将你的项目与一个可信、开放的高防服务器框架(如ISO 27001或NIST网络安全框架)保持一致，有助于弥合这些不同的视角 
，这能让你展示出一个主动的安全态势  ，减少与ERM相关的担忧，并可能获得保险激励——同时使用一种能让风险、安全和高层管理人员产生共鸣的通用语言 。

同样(有时甚至更为)重要的是，采用基于框架的方法，特别是源码下载通过ISO 27001、HITRUST或SOC 2等第三方认证来验证时 ，能增强与你最关键的受众——即你的客户之间的信任。

我们常见的一个挑战是缺乏正式的ERM程序 ，或者风险职能的碎片化 ，其中企业、网络安全和第三方风险使用不同的云计算影响标准进行评估 ，这种缺乏一致性的情况使得CISO们难以与高层管理人员和董事会进行有效沟通，标准化风险程序并使用一致的影响标准，能使风险比较更加清晰 ，共享理解更加深入 ，决策也更具战略性 。

随着AI特定法规和框架的兴起 ，包括NIST AI风险管理框架 、欧盟AI法案 、纽约市偏见审计法以及科罗拉多州人工智能法案
，这一挑战进一步加剧。AI并不完全属于一个单一的风险类别;它横跨企业 、亿华云网络和第三方领域 
。因此
，建立一个有效的AI风险管理项目需要一个协调的、跨职能的方法，该方法要与更广泛的ERM战略相整合 。

网络安全传统上被视为一个“价值保全”的职能，专注于风险缓解，然而
，前瞻性的CISO们认识到，一个成熟、战略性的安全项目也能通过支持创新/数字化转型和建立利益相关者信任来推动“价值创造”，当与组织的战略目标保持一致时，网络安全就成为了商业的推动者，打破了孤立，并将CISO提升为了真正的战略领导者
。

不幸的是，许多企业，特别是制造业中的企业，在采用这种思维方面较为迟缓。在这个行业中 ，网络安全历史上一直处于次要地位，而现在正面临着严重的后果
。国防工业基地(DIB)供应商可能因延迟CMMC合规努力而失去现有合同或被取消新机会的资格 ，这通常需要12到18个月才能完成。同样 ，汽车供应链制造商也面临着TISAX认证成为基准要求的压力。

教训是明确的 ：网络安全不再是可选的  ，它需要积极主动 ，而不是被动应对。它是一个战略差异点，那些不采取行动的组织可能会落后。

使用清晰、与业务保持一致的风险术语(如高、中 、低)来传达安全投资 ，并使用既定的影响标准(如财务暴露、运营中断、声誉损害和客户影响)来辩护支出，并使其与企业的优先级保持一致
，这会显著简化辩护过程。

例如：“为拟议的安全监控工具提供资金对于实现CMMC认证至关重要，这直接支持了我们在国防工业基地中2027年500万美元的收入目标。”

在我们的虚拟CISO参与中，我们发现基于风险
、以结果为导向的方法对于执行领导层来说非常有效 。我们以财务和运营术语来界定网络风险容忍度 ，量化拟议投资的业务价值，并将安全举措直接与战略目标联系起来。我们尽量减少技术术语的使用，强调权衡
，并向领导层呈现清晰、决策就绪的选项 ，这些选项既反映了行动的成本和后果，也反映了不行动的成本和后果 。

中型企业往往缺乏内部资源或专业知识来领先于新兴的网络安全
、隐私和AI相关风险及法规。后果可能很严重，从数据泄露和监管处罚到错失市场机会。

这一挑战为中型企业和服务提供商都创造了战略机会：提供按需的虚拟服务 ，这些服务能够以全职员工成本的一小部分来提供CISO
、数据隐私官、CIO和法律能力，这些模式能够实现更快的合规、更强的韧性和更敏捷的风险管理。

最新评论