CISO與CFO:對話為何如此困難?
這就是為什么說服CFO加大對網絡安全投資以減輕此類威脅變得困難的原因。通常,這種對話充滿了挫敗感、誤解和溝通不暢。雖然CISO將網絡安全視為對迫在眉睫威脅的必要防護,但CFO尋求的是可衡量的回報和切實的結果,這使得雙方都難以找到共同點。
“最困難的部分始終是彌合思維方式的差距,”網絡安全領導力研究所(Cyber Leadership Institute)的CISO、主席兼聯合創始人達倫·阿蓋爾(Darren Argyle)說道。
CFO習慣于處理具體數字、預測模型和明確可衡量的回報,但網絡安全并非如此運作,他補充道。“它更多是關于減少可能發生事件的風險,這往往意味著最好的結果是什么都沒有發生,這很難推銷出去。”
盡管一次網絡攻擊就能抹去數百萬美元,但CFO和CISO往往從根本不同的角度看待網絡安全。在安永的2025年網絡安全研究中,這種分歧顯而易見,該研究顯示68%的CISO擔心高級領導者低估了風險。
當CISO和CFO愿意達成妥協,將技術優先級與財務現實相結合時,這種分歧的彌合就取得了進展。阿蓋爾意識到,為了推動對話前進,他必須改變自己的方法:他不再為技術辯護,而是開始展示其影響。他不再陷入技術術語的泥潭,而是從財務風險、運營中斷和底線后果的角度重新定義網絡安全。他還讓CFO親身體驗了風險。
“我們模擬了一個真實的勒索軟件場景,將系統停機時間與收入損失、合規罰款和聲譽損害聯系起來,但我們沒有使用模糊的威脅,而是使用了實際的財務模型,”他說。“CFO不再將其視為一個安全問題,而是更多地將其視為業務連續性的保險——這就是突破點。從那以后,我們再也沒有遇到過同樣的摩擦。”
在與CFO或其他高級管理人員的對話中,阿蓋爾從不承諾傳統意義上的投資回報率。他謹慎地不承諾傳統的投資回報。他不是將網絡安全推銷為賺錢的方式,而是將其視為對潛在財務、法律和聲譽損害的必要防護。“網絡安全不是閃亮的新工具,”他說,“它是安全帶。”
在與CFO或其他高級管理人員的對話中,阿蓋爾通常將其分解為三個方面:
? 不采取行動的成本是多少?
? 這如何降低風險或加快響應速度?
? 這項投資如何支持更廣泛的業務戰略?
這種策略并非基于恐懼,他說,而是“將網絡安全視為對品牌的投資”。
選擇恰當的措辭
關注具體事物并將網絡安全直接與業務成果掛鉤,可以幫助CFO看到更大的圖景。阿蓋爾在向CFO推銷紅隊演練投資時親身經歷了這一點。最初反應是懷疑。“你想讓我們花錢攻擊自己?”短暫停頓后,阿蓋爾重新構思了提案。“不——我想讓我們在別人發現漏洞之前先找到它們。”提案成功了。“一旦我用主動風險管理來解釋,語氣就變了。”
黑曜石安全公司(Obsidian Security)的財務主管奇斯拉·拉賈戈帕蘭(Chithra Rajagopalan)認為這種方法很有價值。她建議CISO使用清晰的例子,展示“安全投資如何有助于財務規劃的穩定性和可預測性,涵蓋風險管理(網絡保險、技術升級周期)、罰款減少、新市場進入的監管批準以及為業務韌性提供網絡安全人員等方面”。
CISO與CFO之間的這些對話應該誠實且開放。沒有透明度,一切都會崩潰。前可口可樂和金寶湯公司CISO、CisoHive創始人蕾妮·古特曼(Renee Guttmann)深有體會。當她接替前CISO時,她查看了預算,很快意識到她的團隊沒有資源來兌現所有承諾。
“當我與CFO會面時,我更加現實,資源和組織影響的數字也更加具體,”古特曼說。“擁有合適的預算和計劃對我來說始終很重要。”
古特曼還建議CISO在必要時尋求外部幫助。幾次,她聘請了一家精品網絡安全公司來確保董事會了解風險,然后,她讓CFO信任的一家四大會計師事務所驗證了這些發現,以幫助消除懷疑并讓領導層參與進來。“CFO對由他們信任的第三方審查風險、補救活動和成本感到更加舒適。”古特曼說。
在CISO與CFO之間建立更牢固的橋梁
重新設計CISO與CFO之間的關系并非一蹴而就,也不是通過一次會議或一杯濃咖啡就能解決的,它需要時間、相互理解和開放的對話。
正如阿蓋爾所指出的,這些討論不應僅限于預算季節,那時雙方都已處于談判模式。為了真正建立信任和一致性,CISO和CFO需要全年保持對話暢通,并努力在涉及金錢之前就了解彼此的工作。
“理想情況下,我會讓CFO參與網絡危機桌面模擬和場景規劃,”他補充道。“讓他們親眼看到違規行為的連鎖反應——而不僅僅是在報告中閱讀。這種第一手接觸比任何PowerPoint演示都能更快地建立理解。”
阿蓋爾建議減少交易的互動,增加戰略性的互動,將重點從僅僅證明網絡安全支出的合理性轉變為與財務領導共同承擔風險。“這種轉變改變了一切,”阿蓋爾補充道。
這位CISO還建議使用CFO熟悉的語言和指標,這意味著提供與他們已經關心的結果相關的信息,如停機時間、財務暴露和合規風險。阿蓋爾建議CISO關注每次事件的成本、基于場景的損失預測、每小時/每天的停機成本、第三方網絡風險暴露以及不合規的成本。只要有可能,CISO應使用基于美元的估計。
作為CFO,拉賈戈帕蘭看到了這種方法的價值。“在黑曜石安全公司,我們為財務領導者看到的一個最大的‘頓悟’時刻是,當他們展示在SaaS和GenAI工具上的快速投資與保護這些工具的等效安全投資之間的差距時。”她說。
另一種策略是將組織的安全計劃與競爭對手進行比較,這是古特曼之前做過的事情。“我表示我不想成為網絡安全態勢最差的優秀組織之一的CISO,”她解釋道。“當我這么說時,我實際上被允許將我們的計劃與那些被視為擁有更強計劃的組織進行基準比較,包括董事會成員所在的組織。”
所有這些都歸結為一點:雖然CISO和CFO可能使用不同的語言,但他們有共同的目標:保持業務強勁。CFO不應將CISO視為障礙,而應視為提前發現問題并為更安全的增長鋪平道路的盟友。
“我的工作是幫助業務更快發展——但要安全地發展,”阿蓋爾說。“‘拒絕部門’的刻板印象已經過時了。”
