本文首发于 SC 杂志.


CISO 发现自己的处境越来越困难：他们需要保护更多的资产、发送更多的代码、减少更大的攻击面，而资金却在迅速减少。网络安全被视为成本中心，这是一个无法回避的事实，尽管企业的安全计划是阻止威胁行为者成为明天灾难性头条新闻的关键，但安全领导者必须做更多的工作，以对执行机构有意义的语言来推销和证明该部门的整体业务价值。

世界一流的首席信息安全官们正迎难而上，领导着全面的安全计划，以提高客户信任度和品牌声誉，并利用所有可用工具创造无可争议的价值。首先要对常见的安全隐患采取战略性的预防措施，并抛弃时间、资源或人员永远不够的观念，以保持安全的卓越性。

改变会议室的讨论方式。

在当前的经济环境下，很少有公司和部门能够逃脱对其花费、招聘以及对业务目标的战略影响的审查。虽然现代企业需要一个庞大的网络安全计划似乎是毋庸置疑的，但这对企业来说是一笔不小的开支，而且从投资回报的角度来看也并不直接合理。

企业高层领导和董事会利益相关者需要清楚地了解网络安全投资计划的预期成果，而不是仅仅停留在电子表格的数字上。他们的技术知识水平和理解能力各不相同，因此首席信息安全官必须努力用通俗易懂的信息来阐述他们的理由。解释计划的规模、需要保护的内容以及需要启用的人员，以提供同类最佳的范例。攻击呈上升趋势，但预算却跟不上，要打好这一仗，首先要在口头上证明其价值。

一直以来，人们都在说，无论在哪个行业，每家公司都在迅速成为一家技术公司。在大多数企业中，数字优先已成为常态，这意味着一个巨大的攻击面，需要最好的保护措施。安全领导者身兼数职，但有一点却被忽视了（直到为时已晚），那就是他们本质上是客户信任的守护者。这一点作为价值主张怎么强调都不为过，它与销售和营销目标一样重要。 

证明预防性安全方法的价值。

当前的网络安全统计数据令人震惊，但要想赢得更多预算，利用虚假信息和恐吓通常是徒劳无益的策略。很少有公司的领导团队成员会认为网络安全不是优先事项，但如果能提出利用现有资源取得更好成果的进取战略，他们就更有可能接受增加预算。 

根据 Neustar 国际安全委员会最近的研究，只有 50% 的公司认为他们有足够的预算来解决已知的网络安全问题。而随着 2021 年至 2022 年全球网络攻击增加了 38%，对于普通的 CISO 来说，未来的道路可能会更加艰难。然而，真正的世界级安全领导者能够超越这些痛点，在逆境中不断创新。

在许多情况下，预防比治疗更容易、更直接，网络安全也不例外。全面的安全计划必须远远超出被动应对措施的范畴，而漏洞管理是许多首席信息安全官最关心的三大问题之一，因此开发人员是这一运动中不可或缺的一部分也是合情合理的。他们需要接受实践教育，正面应对常见的安全漏洞，帮助他们从源头上消除这些问题，确保它们永远不会进入生产阶段。现在，我们不能再继续原谅低质量、不安全的代码，而提高开发人员的技能是迄今为止最具成本效益、最有效的解决代码级漏洞的方法。 

首席信息安全官们必须努力保留现有预算，详细说明基于角色的安全技能提升的好处，尤其是对开发人员的好处，这比在臃肿的安全技术堆栈中添加下一个 "银弹 "来得更快。

安全应成为品牌的基本要素。

大多数首席信息安全官并不是因为热衷于市场营销而进入这个职位的，但这是你可以努力的一个方面，至少在向那些掌握钱袋子的人介绍你的情况时是这样。 

网络安全计划对客户信任度和品牌忠诚度的影响无论怎样强调都不为过，大规模的漏洞可能会导致客户大量流失。与此相反，通过将严格的安全措施与品牌核心价值相结合，您就会发出一个明确的信息，即数据隐私和保护不仅是首要任务，而且是客户可以依赖的东西。 

现代的首席信息安全官必须花时间强调安全策略和政策的竞争优势，因为这关系到客户持续的积极情感和信任；仅靠被动的安全措施不会产生同样的影响，而采用一种平衡的方法，利用一切可用资源重点保护特权资产，才能最终脱颖而出。 

我们不能再找借口了，但首席信息安全官们在为真正的转型安全战略寻求充足资金时，可以强调很多令人信服的理由。