提升网络安全：CISO的职责与战略

关键要点

• CISO面临着资源锐减的挑战，需要在保护资产、交付代码和减少攻击面之间保持平衡。
• 高级别CISO需要在董事会中有效地沟通网络安全的商业价值。
• 采用预防性的安全方法可提高预算获取的可能性。
• 安全作为品牌的基础，有助于提升客户信任和品牌忠诚度。

随着网络安全形势日益复杂，CISO（首席信息安全官）处于一个越来越尴尬的位置：保护更多资产、交付更多代码、降低更大的攻击面，并且在财务资源迅速减少的情况下完成这些任务。不可否认的是，网络安全常常被视为成本中心，尽管组织的安全计划正是阻止威胁实体成为明日头条的关键，安全领导者仍需更积极地向管理层推销和证明部门的整体商业价值，用管理层能理解的语言来阐述。

顶尖的正在迎接挑战，领导全方位的安全计划，以增强客户信任、提升品牌声誉，并利用一切可用工具创造不可否认的价值。这一切都始于一种战略性、预防性的方式来应对常见安全风险，摒弃“永远没有足够的时间、资源或人员维持安全卓越”的心态。以下是如何实现这一目标的方法：

改变董事会的讨论方式

在当前的经济环境中，很少有公司或部门能够逃避其支出、招聘和对商业目标的战略影响所带来的审查。尽管现代企业需要一个广泛的网络安全计划似乎是不言而喻的，但这对组织来说是一项显著的成本，其投资回报并不简单明了。

和董事会成员需要清楚了解投资网络安全计划的预期结果，需要以不只是电子表格数字的方式解释。他们的技术知识和理解力各不相同，CISO必须努力以易于理解的信息呈现他们的案例。解释该计划的规模、需要保护的内容，以及哪些员工需具备提供最佳示例的工具。尽管攻击事件不断上升，，努力做好这场斗争，从口头宣传其重要性开始。

无论哪个行业，早已有人说过每家公司都已成为技术公司。在许多组织中，数字优先的方式已成为常态，这意味着需要在公司能承受的范围内提供最佳保护的巨大攻击面。安全领导者担任着多重角色，但其中一个常被忽视（直到为时已晚）的是，他们实际上是客户信任的看护者。我们无法过分强调这一点作为价值主张，其重要性与销售和市场营销目标相当。

证明预防性安全方法的价值

目前的网络安全统计数据，但在预算时间内玩弄恐惧、疑虑和不确定性（FUD）通常是徒劳的。公司的领导团队中几乎没有人会争论网络安全不是优先事项，但如果有一个有远见的战略试图利用现有资源以获得更好的结果，他们更有可能签署预算增加。

根据Neustar国际安全委员会的最新研究，仅有50%
的公司觉得他们的预算足以应对已知的网络安全问题。随着全球网络攻击，这意味着普通CISO未来将面临更加