为您的公司领导提供办公室外的实践经验,以便他们了解预算决策中的利害关系。2015年夏末,我与一位大客户安排了一次场外研讨会。我有两个目标:一个是建立令人难忘的经历,向管理层展示风险如何转化为网络安全人员的战略和行动。通过将其安排在公司财政年度的第四季度,第二个不太明显的议程是确保这些相同的决策者在讨论我提议的下一财政年度的安全预算时,非常清楚症结所在和焦点。至少对于我的部门来说,以前主要是桌面辩论的事情变成了董事会对他们自己的支出决策对现实世界的影响的更深入的理解。作为一名全球首席信息安全官,我认为年终是在以强劲的成绩结束这一年的短期利益与部署企业在来年取得成功的战略投资之间取得平衡。对于许多CISO而言,最大的年终投资是缩小业务和技术利益相关者之间的差距。因此,我组织了公司重要客户的体验之旅,重要到董事会和首席执行官都愿意花时间拜访他们。行程中包括我们的外部咨询团队的演示,讨论在没有适当安全措施的情况下实施先进技术的相关风险。该活动带来了短期和长期红利。由于CEO和董事会获得了更多的背景知识,他们为来年预留了更多的安全预算。而且,由于参加此次活动的其他企业高管更多地了解了安全知识,因此在整个公司内形成了一种更具风险意识的文化。希望进行类似投资以对抗安全疲劳的首席信息安全官和安全主管可以看看我的五步蓝图,以展示来年投资网络安全和赢得来年预算谈判的重要性。1.做计划者,而不是执行者作为网络安全主管,您自然希望为您的部门争取更多预算,董事会和首席执行官都知道这一点。因此,您不能亲自主持此体验。我的建议是将经验外包给咨询公司,或者与现有团队合作,将经验呈现给董事会和CEO。2.制定有影响力的议程你可能不是体验之旅的前台领导者,但你不能委托时间和节奏。体验之旅的第一阶段可以按照以下标准来安排:产生兴趣:你应该找到公司CEO和董事会都认同并希望与之互动的客户或合作伙伴。契合公司业务:确保公司业务与拜访的客户之间有足够的接触点。商业挑战、行业等,总有一些相关的东西。确保董事会和CEO可以轻松地将体验之旅的好处与公司联系起来。走出办公室:记住,投资是一种体验。为您的CEO和董事会创建一个参与和印象深刻的开箱即用的活动。与第三方顾问密切合作,但最终,您是体验的管理者,您的工作是将公司面临的风险呈现给高管。顾问可以帮助缩小差距并使演示更接近业务方的利益相关者。3.视觉演示,而不是干巴巴的解释下一步是董事会休克教育:向您的董事会和CEO进行视觉演示,说明如果将公司的技术用于恶意目的可能会产生什么后果。如果您去一家起重机公司,请向他们展示白帽黑客如何入侵IoT起重机。如果您拜访联网家庭制造商,请展示黑客如何秘密访问Nest摄像头并与家庭主妇交谈数小时。这使您的首席执行官和董事会能够看到网络威胁的直接影响,并感受到不减轻这些威胁和风险对公司和客户的直接后果。这是向董事会和首席执行官表明缺乏稳健的网络安全和网络风险管理几乎会阻碍业务进步和创新的绝佳机会。4、直接申请二阶段实战经验后,可作为安全监督员站在台前。向您的董事会和首席执行官阐明您和您的安全部门正在做什么,并利用迄今为止在研讨会上积累的安全和风险认知。然后,直截了当:告诉他们你需要确保你的公司和客户不会因为被黑客攻击而遭受类似的命运。5.在增加支出经验的地方之后,增加网络安全计划支出的方向有两个:一个是事件响应(以及一些属于NISTCSF响应类别的活动:响应计划、沟通、分析、缓解和改进);一是提高最高管理层的知名度和报告。记住你的投资重点:让你的首席执行官和董事会关注网络安全,并将网络提升到董事会和行政级别。我强烈建议不要谈论购买另一个端点工具,而是谈论你想要实现的目标:一个更具弹性和网络意识的企业。具体来说,投资于红蓝团队事件响应演习,无论是桌面还是全模拟,都会给您的董事会和CEO一种视觉印象,即您已为真实事件做好准备。其次是对提高网络项目知名度的解决方案的投资。这是您必须实施集成解决方案的地方,您可以在其中实现自动报告,以便在公司董事和高管的业务环境中可视化您的Web项目。进入第四季度,支出年度预算很重要,有效使用年度预算同样重要。投资于此类体验可以改变公司管理层看待网络安全的方式,并摆脱日常安全疲劳。如果执行得当,这种短期和长期利益将改善公司的风险状况,并帮助公司领导做出更明智的安全支出决策。【本文为专栏作家“李少鹏”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
