|
|
51CTO旗下网站
|
|
移动端
创建专栏

2020 安全预算保卫战:争取和增加预算的五个途径

CISO和安全主管若想做出类似的投资以对抗安全疲劳,不妨看看我展示来年网络安全投资重要性和赢取来年预算谈判的五步蓝图。

作者:安全牛|2019-12-17 08:26

给你的公司领导层来场办公室外的切身体验,好让他们知道自己预算决策的利害攸关部分是哪些。

2015 年夏末,我安排了一场和一家大客户的场外研讨会。我有两个目标:一个是建立难忘的体验,向管理层展示风险是如何转化成网络安全人员的策略和行动的。

而通过在公司财年的第四季度安排此事,第二个不太明显的议程,就是确保这同一批决策者在讨论我提出的下一财年安全预算时,非常清楚问题的症结和重点。

至少对我的部门而言,之前大体上是纸上谈兵的桌面争论,就变成了董事会对自身开支决策的现实影响更为深刻的理解。

作为全球 CISO,我将年终岁尾视为在本年度强势收尾的短期收益,与部署企业来年成功的战略投资之间的平衡操作。

对很多 CISO 而言,能做的最大年末投资,就是桥接业务与技术利益相关者之间的鸿沟。所以我组织了与公司重要客户之间的体验之旅,重要到董事会和 CEO 很乐于花时间拜访的那种大客户。行程中包含我们外部咨询团队的一场展演,讨论先进技术的实现若缺乏恰当的安全措施会导致何种风险。

该活动带来了短期和长期红利。因为 CEO 和董事会获得了更多的背景知识,他们为来年留出了更多的安全预算。而且,由于参加活动的其他业务主管学到了更多关于安全的知识,整个公司也营造出了更具风险意识的文化。

CISO 和安全主管若想做出类似的投资以对抗安全疲劳,不妨看看我展示来年网络安全投资重要性和赢取来年预算谈判的五步蓝图。

1. 当策划者,不做执行者

作为网络安全主管,你自然想要为自己的部门争取更多的预算,董事会和 CEO 都知道这一点。所以,你不能亲自上阵主持这场体验活动。我的建议是,把体验活动外包给一家咨询公司,或者与已有合作的团队协作,由他们向董事会和 CEO 呈现这一体验。

2. 创建有影响力的议程

你或许不是体验之旅的台前主导,但不能将日程和节奏安排并一并委托了出去。体验之旅的第一阶段可以按如下标准安排:

  • 提起兴趣:你找的客户或合作伙伴应是公司 CEO 和董事会都认可,且想要与之互动的。
  • 贴合公司业务:确保公司业务与您访问的客户之间有着充足的触点。业务挑战、行业等等,总有些东西是相关的。确保董事会和 CEO 能够轻松将体验之旅所得联系回公司身上。
  • 走出办公室:记住,该投资是一场体验。为你的 CEO 和董事会创建一场打破常规的活动,使之积极参与,印象深刻。

与第三方顾问紧密合作,但最终,你才是这场体验的策划者,向执行层呈现公司面对的风险是你的职责。顾问可以帮助桥接空白和拉近演示与业务侧利益相关者的关系。

3. 直观演示,不要干巴巴讲解

下一步就是董事会会议室里的 “震撼教育” 了:给你的董事会和 CEO 直观演示该公司技术若用于恶意目的会产生什么后果。如果去一家起重机公司,给他们看白帽子黑客如何侵入物联网起重机。如果参观一家联网家居制造商,展示黑客如何秘密访问 Nest 摄像机与家中主妇交谈数小时。这可以让你的 CEO 和董事会看到网络威胁的直接影响,直观感受到不缓解这些威胁和风险会给公司和客户带来的直接后果。

这是向董事会和 CEO 展示缺乏健壮网络安全和网络风险管理可致业务进展与创新几乎全被抵销的最佳机会。

4. 直接要求

两阶段的实际体验后,你就可以作为安全主管站到台前了。向你的董事会和 CEO 阐述你和你的安全部门都在做些什么,将研讨会截至目前累积起来的安全与风险认知变现。然后,清楚地直击重点:告诉他们你需要确保公司和客户不遭遇类似的被黑命运。

5. 在哪儿增加开支

体验之后,有两个方向可供增加网络安全项目开支:一个是事件响应(以及划归 NIST CSF 响应类别的一些活动:响应规划、沟通、分析、缓解和改善);另一个是增加高管层可见性和报告。

记住你此项投资的重点:让你的 CEO 和董事会关注网络安全,将网络提升到董事会和高管层讨论的问题。我强烈建议不要谈论采购又一款终端工具什么的,要去讲述你希望达成的效果:更具弹性和网络意识的企业。

具体来说,投资红蓝队事件响应演习,无论是桌面推演还是全模拟演练,都会给你的董事会和 CEO 留下你已为真正的事件做好准备的直观印象。后面再跟可增加网络项目可见性的解决方案投资。这是你必须实现集成解决方案的地方,你得以此解决方案达成自动化报告,在商业语境中为公司董事和高管直观呈现你的网络项目。

进入第四季度,用完年度预算很重要,同样重要的是有效使用你的年度预算。投资此类体验可转变公司管理层看待网络安全的态度,打破惯常的安全疲劳。只要执行恰当,该短期及长期受益将改善公司风险态势,帮助公司领导做出更明智的安全开支决策。

【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文 

【编辑推荐】

  1. 招聘安全主管时的“三不要”和“五应该”
  2. 为什么CISO必须重视PAM
【责任编辑:赵宁宁 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢