CFO必读:网络安全威胁缓解三大策略

本文探讨了CFO在网络安全中的关键角色,强调与CISO合作、构建合规安全措施以及将网络安全转化为竞争优势三大策略,帮助企业将安全投入转化为战略投资。

CFO必读:缓解威胁需知的三大要点

要将网络安全重新定位为战略性、业务关键的投资,CFO和CISO在阐述强大安全措施所能带来的显著投资回报率(ROI)方面扮演着关键角色。

评论

网络犯罪不再仅仅是IT问题。它直接威胁到组织的资产负债表和声誉。2024年,美国数据泄露的平均成本上升至超过936万美元。幸运的是,企业领导者已经拥有抵御这些威胁的工具。他们只需要知道如何战略性地使用它们。

在我职业生涯早期,网络安全通常被视为一个孤立的IT功能。如今,它已成为公司价值主张的基本组成部分,具有直接的财务影响。对于首席财务官(CFO)来说,这一转变意味着深入了解特定网络威胁如何导致财务损失、侵蚀客户信任、损害组织品牌并降低投资者信心。

随着CFO越来越多地参与制定网络安全策略,以下是需要记住的三点:

1. 加强与CISO的合作

尽管CFO可能没有深厚的网络安全专业知识,但他们的风险管理思维使其成为首席信息安全官(CISO)保护组织系统和数据的天然合作伙伴,从而防止对利润产生重大风险。

归根结底,目标是创建一个客户或客户可以信任的盈利组织。CFO带来对法规要求、预算和风险承受能力的深入知识。CISO则可以定制符合这些约束而不损害保护的网络安全计划。当这些角色合作时,网络安全投资变得更加有针对性、更具成本效益,并与业务优先级保持一致并创造价值。

相关:将人类脆弱性转化为组织优势

在我们自己的组织中,我每月与由业务所有职能的高管和董事会成员组成的审查委员会会面,以确保网络安全问题在规划初期得到解决和缓解。随着我们服务的行业和客户,我们很早就认识到在业务中建立网络安全文化至关重要,因为它直接鼓励信任、运营和自然整合。一个简单的事实是,如果客户不信任你,就没有业务。

2. 构建强大、合规的安全措施

CFO和CISO必须合作保护关键应用程序,并保持对组织网络安全态势的清晰理解。这可能包括评估对应用程序、支付和会计系统或专有数据的访问管理和权限。建立实现该目标的结构需要专注于定期综合风险评估、足够的内部控制以减轻风险、财务报告与事件响应和恢复计划的一致性,以及强大的跨职能合作。

相关:Coinbase泄露事件对内部风险的启示

不断发展的立法是CFO和CISO紧密合作的另一个原因。例如,美国SEC最近的规则变更要求公司在文件中包含关于网络安全风险管理的声明。还有推动确保基本安全控制在行业内或国家风险态势中具有重要地位的公司内实施和有效运作,例如金融部门的数字运营弹性法案(DORA)。在整个欧洲,**网络与信息安全指令2(NIS2)**要求可能影响国家安全福祉的公司证明其符合网络安全保护。

CFO和CISO共同应对风险管理意味着整个公司与不断发展的法规保持一致,并最小化财务中断的风险。他们可以通过基于风险优先排序倡议、支持主动投资以及跟踪关键绩效指标(KPI)和风险降低指标来实现这一点。

相关:Microsoft Azure中的低代码工具允许无特权访问

3. 将网络安全转化为竞争优势

网络安全必须作为业务规划的战略支柱嵌入,而不是被视为反应性成本中心。为确保其不被事后考虑,企业需要一种战略方法,使其安全投资、全公司范围的教育和资源分配与更广泛的业务目标保持一致。

在我整个职业生涯中,网络安全已成为业务战略的更大组成部分,并且不再局限于IT环境。因此,CISO正在摆脱纯粹的技术角色,并提高与高管讲业务语言的能力。相反,非技术高管如CFO越来越意识到网络安全对公司利润的意义以及可能影响他们的杠杆,包括数据泄露、网络攻击和声誉风险,以及如何管理它们。

领导者和组织必须重新评估网络安全在其整体风险管理方法中的位置,以及如何利用它来推动增长。虽然网络安全在降低公司风险方面无疑至关重要,但它在创造价值方面也是一个被低估的因素。在当今市场,信任不仅是赢得的,而且是预期的。没有它,就没有业务可增长。

强大的网络安全实践也是推动收入增长的关键。网络安全支出预计今年将达到2120亿美元——增长15%——突显其在当今威胁环境中的日益重要性。要将网络安全重新定位为战略性、业务关键的投资,CFO和CISO在阐述强大安全措施所能带来的显著投资回报率方面扮演着关键角色——它成为创新的催化剂和竞争性变革的驱动力。

阅读更多关于:CISO角落

关于作者 Raymond Daoud 高级副总裁兼首席安全官,CGI

Ray Daoud是CGI的首席安全官。他负责监督公司的全球企业安全策略,并建立跨所有安全领域的全球安全政策、标准和实践,包括人员、信息、物理安全和网络安全。他还负责CGI的业务连续性计划和支持活动。

拥有超过26年的信息安全、网络安全、IT、架构、风险管理、治理和合规经验,Ray在提供推动企业范围安全转型和产生切实业务价值所需的战略愿景、领导和结果导向方法方面有着良好的记录。

Ray持有麦吉尔大学的学士学位和多项行业认证,包括认证信息系统安全专业人员(CISSP)、认证信息安全经理(CISM)和认证信息系统审计师(CISA)。

查看更多来自Raymond Daoud的内容

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次