盡管新聞頭條頻繁描述全球大規模數據泄露事件，但首席信息安全官 (CISO) 仍然難以向最高領導層證明安全投資的合理性。據Gartner稱，安全支出僅占IT總資金的5.6%左右。

無論企業領導層最終批準多少安全預算，都需要 CISO 來優化資金分配。更多的資金可能會有所幫助，但前提是他們知道如何有效地使用資金——并且在第一次推介之前就開始計劃。讓我們仔細看看安全領導者可以采取的四個關鍵步驟，以最大限度地提高安全投資回報。

1. 評估風險、資產和資源

CISO 應首先徹底評估組織中既有價值又存在潛在風險的系統、數據和其他業務資產。如今，這構成了一個不斷發展的網絡，優先級將隨著時間的推移而變化，以反映業務和威脅形勢的變化。

Absolute 技術風險管理和數據隱私總監 Jo-Ann Smith 表示：“應該首先識別并記錄最需要保護的資產。什么對業務很重要？系統和數據面臨的主要威脅是什么？”

在您踏入行政辦公室或董事會會議室以倡導安全之前，就需要進行這種評估。其調查結果將為安全計劃的目標和預算建議奠定基礎。購買的技術及其所服務的需求對于每個企業來說都是獨特的。

換句話說，初步審查的結果對于不同的 CISO 可能意味著許多不同的事情。行業框架提供的通用模型可以幫助安全領導者確定優先事項并確定特定于其業務的差距。

Cyber Risk Opportunities 首席執行官 Kip Boyle 指出，美國國家標準與技術研究院 (NIST) 網絡安全框架 (CSF)是評估網絡風險的最佳方法。

他說：“我們發現，大多數公司在與供應商和客戶簽訂的賠償合同條款、反網絡釣魚培訓、網絡保險和危機管理規劃等關鍵緩解措施方面投資不足。然而，這些對于減輕現代網絡威脅都至關重要。”

2.使安全預算與業務目標保持一致

在向高管和董事會董事展示安全投資回報時，安全領導者必須講金錢的語言。安全如何為企業服務？

Carbonite 首席信息安全官拉里·弗里德曼 (Larry Friedman) 表示：“在評估如何支出時，首席信息安全官應始終與業務保持一致。安全支出應根據與確保重要業務流程連續性相關的風險來計算。”

這超出了保護數據和維護法規遵從性的范圍。尋找機會使用安全資金不僅可以緩解風險，還可以增加收入并實現其他業務勝利，例如提高生產力，有助于 CISO 將安全定位為動態業務推動者，而不是靜態成本中心。

CISO 應實施自動化安全情報和分析工具，以減少安全團隊的繁忙工作，并幫助其專注于更具戰略性的項目。當您分析投資機會時，不僅要考慮它們的成本，還要考慮它們可以為公司節省多少或增加價值。

3. 雇用和培訓優秀人才

經常令人遺憾的網絡安全技能差距幾乎沒有縮小的跡象。國際信息系統安全認證聯盟 (ISC2)最近的一份報告顯示，全球網絡安全技能缺口近 300 萬個職位空缺，約三分之二的企業認為他們的安全團隊人員不足。

毫無疑問，對安全計劃的最佳投資之一就是擁有高效的員工。然而，在雇主尋求人才的緊張市場中，組織可能必須向內看并投資于培訓員工，否則他們可能不會考慮從事安全職業。

通過培訓已經屬于組織的人員并招募他們從事安全工作，CISO 可以提供職業發展機會并建立安全團隊，同時利用員工的機構知識。

4. 投資安全文化

有效的網絡安全策略必須包括每位員工都重視安全的企業文化。但信息系統審計與控制協會（ISACA）和能力成熟度模型集成（CMMI）研究所的《2018年網絡安全文化報告》發現，大多數組織仍在努力建立安全文化。此外，95% 的受訪者指出他們當前的網絡安全組織文化與理想的網絡安全組織文化之間存在差距。

將安全文化融入企業意味著什么？這意味著讓所有員工（從安全團隊到高管團隊）感受到對公司安全和風險狀況的投入，并采取安全行為。對安全文化的投資可以包括意識培訓、安全開發生命周期計劃以及對表現出合規性和報告事件的員工的獎勵等舉措。

一些數字證明了這樣做的好處：根據 ISACA/CMMI 研究，報告安全文化不足的組織將其年度網絡安全預算的 19% 用于培訓和意識。擁有更強文化的公司平均花費的份額是其兩倍多（43%）。

ROCeteer 首席技術官 (CTO) Heather Wilde 在ISACA博客文章中介紹了研究結果，指出安全文化投資的好處不僅僅限于安全。大多數受訪者 (66%) 表示，他們的組織經歷了網絡事件的減少，但王爾德指出，許多其他好處是面向客戶的：提高信任、增強聲譽和增加收入等等。

如何最好地分配安全預算的問題沒有簡單的答案，而且最佳方案因企業而異。但是，對公司當前安全態勢和文化的全面評估，以及對安全如何有利于業務目標和實現公司使命的評估，可以為 CISO 提供優先投資的路線圖。