网络安全资金对企业来说是一个无底洞吗?

无论企业在网络安全上花费多少，都不能保证不会发生重大事件。那么，高级经理和董事会如何知道该做些什么才能有意义呢？

迈克尔·加布里埃尔是富通合伙人的合伙人。作为企业的技术代表，他参加了美国信息风险委员会召开的会议。此外，来自财务、人力资源、法律、个人安全、内部审计和外部审计领域的一些高级管理人员出席了会议。外部审计表明，安全人员需要向企业董事会引入潜在的网络安全威胁。问题是，如果在经理回应之前就传达了这一点，他们所要做的就是引起他们的注意，否则可能没有帮助。

迈克尔·加布里埃尔(Michael Gabriel)说，人们提出了一些关于如何最好地传达企业以及各部门的整体网络安全状况的问题，企业董事会需要尽快意识到这一点。无论网络安全状况如何，都需要外部审计向企业董事会提供简报，这是一项合理而必要的措施。

迈克尔·加布里埃尔调查了一些专注于网络的大型专业服务公司。这些公司已经建立了网络安全方法，但是从最初的努力和持续的维护来看，这似乎非常困难，因为没有人能够提供人们想要传达的清晰视角。

需要通过时间维度来看待网络安全观点

现在，人们都知道最好通过一个清晰的故事来传达想法。然而，人们的经验将强化所传达的意见，包括:

为了确保对过去、现在和未来的意见给予应有的关注，有必要不断更新状态，并侧重于关键业务影响指标和计划，最好是在与公司董事会会议相联系的基础上。当然，这并不排除根据实际事件或感知到的威胁立即通知和采取行动的可能性。这些项目将包括在下一次状态更新中。虽然这为人们的工作方法提供了一个时间视角，但并没有提供解决系统网络安全状况所需的参考点。“确定网络安全风险的基础是什么?

企业需要保护哪些资产?

王晨曦博士指出，“网络安全风险需要在企业面临重大风险的背景下进行讨论。如何评估这些风险是否需要董事会的关注，应使用类似的风险框架，每6个月左右评估一次。”

专家给出的例子通常是对家庭的安全保护。例如，诸如烟、热、水、一氧化碳、运动探测器和摄像机等传感器被部署在家庭的每个房间。每个房间一天24小时都受到监控，但不能保证房子不会被抢劫、着火或被淹。尽管购买保险可以弥补一些损失，但主人的生活将会受到严重干扰，一些珍贵的贵重物品可能会丢失。然而，房主可以根据需要保护的东西来决定支付保险费。

从商业角度来看，这真的没有什么不同。通过法律合同，企业的业务将受到法律保护，免受第三方网络事件的影响，并在财务上受到网络保险的保护。然而，即使采取这些保护措施，企业的声誉会受到什么影响？在补救之前，它将如何影响企业正在进行的流程或消费者或业务关系？

企业的业务风险和必要的保护因其业务类型而异。企业需要决定哪些资产(数据、系统访问等)。)需要保护吗？如果这些资产受损会发生什么？

Gabriel说，例如，媒体集团有一些不同的业务，订阅电视/点播服务所面临的风险不同于实时新闻机构、广告支持的广播网络、电视和电影制作公司所面临的风险。尽管整个组织都有标准的信息安全策略，但它们的相关性因业务部门而异。

资金对企业的网络安全风险有何影响?与同行相比如何?

管理者需要考虑什么对企业真正重要。需要考虑的一些领域包括:“要发现这一点，我们需要与企业各部门的所有业务领导和外部会计师事务所进行讨论。企业管理者必须能够建立自己的信任关系，为企业提供帮助，而风险承受能力是企业的决策，管理者可以提供指导。

消费者信息合规性(无论是在企业内部还是由第三方管理)(包括州和联邦政府、国内和国际)，如PII、PCI、GDPR、CCPA、HIPPA等。供应链(数字或其他)品牌声誉的知识产权保护(包括社交媒体影响力和面向公众或B2B的网站)。包括战略和计划的员工信息(包括保密的第三方人员信息)、非公共财务和合同信息@

然后，企业需要了解网络安全框架和标准。可以考虑以下标准，但建议汇总这些标准，以传达汇总级别的状态，并以某种方式传达当前和未来网络安全计划的潜在业务和财务影响:

尽职调查对于确定企业的网络安全状态至关重要，企业的首席财务官可以发挥重要作用。

该行业通常有一些关于支出的行业指导方针，如金融服务部门的网络安全配置文件，可用于支出评估。然后，他们将根据他们可能的专业知识讨论哪些对他们的审计公司和关键网络安全公司有意义。

但是从这个角度来看，预算支出如何影响企业的状况？如果企业的首席财务官、首席运营官或董事会问这些问题，他们会如何回答？

那要花多少钱？您是否批准了更多资源的请求，或者它是一种新的人工智能/机器学习威胁防御工具？如何从商业角度转移风险？公认的良好做法是采用基于风险的方法，其目的是确定采取适当预防措施的成本是否值得潜在的风险影响。它可以是一个简单的四象限视角，例如，一个轴上的风险从低到高，而另一个轴上的成本从低到高，它可以帮助企业评估应该在哪里应用有限的支出。

然而，正如迈克尔·加布里埃尔在国际商用机器公司的高管会议上所了解的那样，人们通常根据当前的确定性来决定未来的不确定性。大卫·洛克博士在行业媒体上发表的文章支持这一观点:“通常人们的大脑像避免痛苦一样渴望确定性和避免不确定性。”文章提到了如何处理确定性和不确定性的原则。人们致力于自动避免不确性，并解释为什么他们更喜欢他们知道的当前事物而不是不利的事物。它解释了对当前财务成本增加的抵制以及网络安全事件财务影响的不确定性。

这里有许多首席信息安全官的例子。有些人问，他们是否会在明年或几年后再次要求额外的资源。它们并不意味着内部和外部因素都会产生影响。因此，建议他们确保传达需求的原因是这是由公司控制的事件，例如，收购和集成成本增加了他们新业务的安全性？如果是这样，有必要决定这些变化是否合理，因为这是一个商业决策。是否有影响网络安全的新业务扩展(如直接面向消费者)？你还需要保护新的营业场所吗？企业需要感到他们对这些决策有一定的控制权。这只能通过适当的评估框架以及对潜在网络安全事件和预防性缓解成本对业务的影响的理解来实现。

由于某种类型的网络安全事件的可能性很高，企业还需要准备——用于事件响应，这是可操作的、合法的和对众开放的。所有这些都可能受到特定事件、业务类型、技术结构、第三方依赖关系和不同类型的网络安全事件的影响。这也可以通过上述类似的基于风险的方法来处理。

除非企业认真对待网络安全，否则它们将陷入资金黑洞。企业经理需要做出权衡和艰难的决定。您需要准备好回答有关您的组织的网络安全成熟度和为管理新出现的威胁而建立的框架的问题。确保网络安全状态的框架应类似于管理其他业务风险的方式，即潜在安全事件对业务资产的影响。

与企业的首席财务官、首席运营官和首席法律官(内部或外部审计)合作，帮助为此提供依据。例如，首席信息官、首席技术官、首席信息安全官和其他高级管理人员有责任用业务术语简明地解释潜在风险并降低风险。尽管一些高管不喜欢看到网络安全问题被记录下来，但如果他们对此视而不见，他们将面临风险。企业有责任从业务可理解的角度负责任地传达这些信息，并建立适当的利益相关者支持。