2020 安全預算保衛戰:爭取和增加預算的五個途徑
給你的公司領導層來場辦公室外的切身體驗,好讓他們知道自己預算決策的利害攸關部分是哪些。
2015 年夏末,我安排了一場和一家大客戶的場外研討會。我有兩個目標:一個是建立難忘的體驗,向管理層展示風險是如何轉化成網絡安全人員的策略和行動的。
而通過在公司財年的第四季度安排此事,第二個不太明顯的議程,就是確保這同一批決策者在討論我提出的下一財年安全預算時,非常清楚問題的癥結和重點。
至少對我的部門而言,之前大體上是紙上談兵的桌面爭論,就變成了董事會對自身開支決策的現實影響更為深刻的理解。
作為全球 CISO,我將年終歲尾視為在本年度強勢收尾的短期收益,與部署企業來年成功的戰略投資之間的平衡操作。
對很多 CISO 而言,能做的最大年末投資,就是橋接業務與技術利益相關者之間的鴻溝。所以我組織了與公司重要客戶之間的體驗之旅,重要到董事會和 CEO 很樂于花時間拜訪的那種大客戶。行程中包含我們外部咨詢團隊的一場展演,討論先進技術的實現若缺乏恰當的安全措施會導致何種風險。
該活動帶來了短期和長期紅利。因為 CEO 和董事會獲得了更多的背景知識,他們為來年留出了更多的安全預算。而且,由于參加活動的其他業務主管學到了更多關于安全的知識,整個公司也營造出了更具風險意識的文化。
CISO 和安全主管若想做出類似的投資以對抗安全疲勞,不妨看看我展示來年網絡安全投資重要性和贏取來年預算談判的五步藍圖。
1. 當策劃者,不做執行者
作為網絡安全主管,你自然想要為自己的部門爭取更多的預算,董事會和 CEO 都知道這一點。所以,你不能親自上陣主持這場體驗活動。我的建議是,把體驗活動外包給一家咨詢公司,或者與已有合作的團隊協作,由他們向董事會和 CEO 呈現這一體驗。
2. 創建有影響力的議程
你或許不是體驗之旅的臺前主導,但不能將日程和節奏安排并一并委托了出去。體驗之旅的第一階段可以按如下標準安排:
- 提起興趣:你找的客戶或合作伙伴應是公司 CEO 和董事會都認可,且想要與之互動的。
- 貼合公司業務:確保公司業務與您訪問的客戶之間有著充足的觸點。業務挑戰、行業等等,總有些東西是相關的。確保董事會和 CEO 能夠輕松將體驗之旅所得聯系回公司身上。
- 走出辦公室:記住,該投資是一場體驗。為你的 CEO 和董事會創建一場打破常規的活動,使之積極參與,印象深刻。
與第三方顧問緊密合作,但最終,你才是這場體驗的策劃者,向執行層呈現公司面對的風險是你的職責。顧問可以幫助橋接空白和拉近演示與業務側利益相關者的關系。
3. 直觀演示,不要干巴巴講解
下一步就是董事會會議室里的 “震撼教育” 了:給你的董事會和 CEO 直觀演示該公司技術若用于惡意目的會產生什么后果。如果去一家起重機公司,給他們看白帽子黑客如何侵入物聯網起重機。如果參觀一家聯網家居制造商,展示黑客如何秘密訪問 Nest 攝像機與家中主婦交談數小時。這可以讓你的 CEO 和董事會看到網絡威脅的直接影響,直觀感受到不緩解這些威脅和風險會給公司和客戶帶來的直接后果。
這是向董事會和 CEO 展示缺乏健壯網絡安全和網絡風險管理可致業務進展與創新幾乎全被抵銷的最佳機會。
4. 直接要求
兩階段的實際體驗后,你就可以作為安全主管站到臺前了。向你的董事會和 CEO 闡述你和你的安全部門都在做些什么,將研討會截至目前累積起來的安全與風險認知變現。然后,清楚地直擊重點:告訴他們你需要確保公司和客戶不遭遇類似的被黑命運。
5. 在哪兒增加開支
體驗之后,有兩個方向可供增加網絡安全項目開支:一個是事件響應(以及劃歸 NIST CSF 響應類別的一些活動:響應規劃、溝通、分析、緩解和改善);另一個是增加高管層可見性和報告。
記住你此項投資的重點:讓你的 CEO 和董事會關注網絡安全,將網絡提升到董事會和高管層討論的問題。我強烈建議不要談論采購又一款終端工具什么的,要去講述你希望達成的效果:更具彈性和網絡意識的企業。
具體來說,投資紅藍隊事件響應演習,無論是桌面推演還是全模擬演練,都會給你的董事會和 CEO 留下你已為真正的事件做好準備的直觀印象。后面再跟可增加網絡項目可見性的解決方案投資。這是你必須實現集成解決方案的地方,你得以此解決方案達成自動化報告,在商業語境中為公司董事和高管直觀呈現你的網絡項目。
進入第四季度,用完年度預算很重要,同樣重要的是有效使用你的年度預算。投資此類體驗可轉變公司管理層看待網絡安全的態度,打破慣常的安全疲勞。只要執行恰當,該短期及長期受益將改善公司風險態勢,幫助公司領導做出更明智的安全開支決策。
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
