现代CISO如何用商业案例证明价值并获取预算支持?
尽管全球网络安全预算总额仍在持续攀升,但其增长速度已明显放缓,并且现有预算分配往往无法满足企业最紧迫的防护需求。Resilience公司首席信息安全官Chris Wheeler指出,CISO们正被迫重新思考预算配置策略:从单纯的防御投入转向以投资回报率和业务价值为导向的风险管理。
在专访中,Wheeler深入探讨了CISO如何应对不断变化的网络安全预算格局。虽然总体支出有所增加,但许多安全负责人表示,预算的增长并未覆盖他们最关键的防护需求。他具体解释了企业如何重新调配资金、量化投资回报,并将安全计划与核心业务目标紧密结合。
多位CISO反映,虽然网络安全预算总体呈上升趋势,但增长领域未必是他们最需要的方向。根据您的经验,哪些具体领域的预算在增加,哪些领域的投入陷入停滞或出现缩减?能否分享一个具体案例,说明您是如何动态调整资金分配优先级的?
虽然安全预算规模可能持续扩大,但年度总增长率正在放缓。这一现象很大程度上与行业特性相关。例如我们观察到,科技和保险行业的网络安全预算年均增长约5%,而医疗健康、专业服务和零售等财务不确定性较高的行业,增长幅度较小,甚至出现下降。
这种差异与网络安全教育现状密切相关。相比其他部门,安全团队对威胁态势和安防措施的潜在回报通常具有更强的韧性认知。正因如此,我们实际看到大量资源正流向CTO和CFO主导的预算中,特别是在AI技术兴起的背景下。
第三方风险管理是企业不得不合理调整支出的重点领域。尽管多年来持续投入工具和分析师资源用于合规文件审查,但供应商造成的损失事件仍在持续增加。我注意到客户开始质疑单纯合规性评估的投资回报,许多企业正在削减这类支出。部分客户正在整合供应商体系,还有一些则直接接受了第三方集成的潜在风险。
与能直接创造收益的部门不同,网络安全投资往往难以体现直观的ROI。在向董事会汇报时,您如何阐述投资回报率或价值创造?能否举例说明您是如何成功证明在零信任、威胁情报或AI工具等领域的重大投资合理性?
您必须向董事会呈现具体的商业案例,以展示网络安全计划的投资回报。只有通过财务术语量化风险,CISO才能实现这个目标。我们的方法依托于一种名为"损失超越曲线"的风险价值呈现工具。这使安全负责人能够向董事会演示其投资正在减少的潜在损失情景。该模型综合考虑了直接财务损失、业务中断和其他风险因素,所有这些都基于实际损失数据分析。
最近,我通过展示某项零信任与AI风险管理关键技术在未来三年内将降低的风险量,证明了在该技术上投入重大资金的合理性。
您如何将网络安全预算与更广泛的业务目标(如数字化转型、并购或新市场拓展)相结合?能否分享一个实例,说明这种结合如何帮助您获得了原本可能被拒绝的资金?
CISO在制定预算方案前,需要深入理解董事会的战略优先级。这意味着全年都需要与董事会保持持续沟通,充分把握他们的核心诉求。
与董事会成员建立良好关系,可以帮助您洞察常规预算周期外的机遇性资金,使您能够适时提出额外资金申请。例如,如果您的公司正在考虑进行并购交易,那么规划系统集成顾问等劳动力成本,或针对人员流动而进行的招聘补充成本就显得尤为重要。此外,关注审计和验证工具等能力,将有助于更快地整合现有资源,并及时识别解决尽职调查中未发现的风险。
展望2026年的规划,哪些领域(如AI安全、身份认证或第三方风险)需要配置新的预算?为什么这些成为优先事项?您如何衡量这些投资是否取得了实效?
我认为AI安全和后量子安全是未来需要重点投入的两大领域。值得庆幸的是,它们与现有能力(如测试程序、数据治理、资产和库存储存管理以及安全防护)存在部分重叠,但这两项举措都存在服务短板,需要定制解决方案和新增支出,例如加密库存储存和大型语言模型安全检测与响应体系。
对CISO而言,一个理想的解决方案是在3-5年周期内,将预算的10%或更多分配给新兴风险领域。然而普通CISO的可支配预算仅为3%,即使在大型企业中,多数安全负责人也感觉人手不足、资源匮乏。尽管我很想套用现有的风险应对模型,但我认为现实情况更为复杂。因此,我建议遵循以下原则:与执行团队进行风险访谈以降低自身风险价值的不确定性,运用损失超越曲线等工具向董事会展示您的评估模型,并优先开展影响力最大的防护举措。
相关攻略
价值113亿美元以太坊(ETH)正退出质押:一文了解V神如何看待这一趋势? 最近,以太坊网络出现了一个引人注目的现象:大量资金正排队等待解除质押。面对日益严峻的质押取款延迟问题,以太坊联合创始人Vitalik Buterin(V神)给出了他的解读。他明确指出,当前网络的退出等待时间已超过六周,但这背
工信部近期抽查并通报了31款存在侵害用户权益行为的App及SDK。主要问题包括违规收集个人信息、强制频繁过度索取权限以及信息窗口乱跳转等。涉及小说、工具、生活等多个类别,部分SDK的违规行为影响范围较广。相关应用需限期整改,用户也需警惕应用的不合理权限索取与弹窗行为。
表格异常检测(Tabular Anomaly Detection, TAD),作为一项关键的数据分析技术,其核心使命在于从海量的结构化表格数据中,精准高效地识别出那些行为模式异常的“离群点”。无论是医疗健康领域的早期疾病预警指标,还是金融风控中隐秘的欺诈交易模式,都依赖于它的强大能力。然而,该技术在
当地时间4月7日,人工智能领域迎来重要动态。知名AI公司Anthropic正式向亚马逊、苹果、微软等核心合作伙伴,推出了一款专为网络安全设计的AI模型——Claude Mythos Preview。 这款全新的网络安全AI模型目前处于预览阶段,并设定了严格的访问权限。据悉,Claude Mythos
近日,英伟达(NVIDIA)联合创始人兼首席执行官黄仁勋就全球人工智能发展格局发表重要见解,他再次强调中美在AI领域加强合作与对话的紧迫性,其观点在科技与政策界引发深度讨论。 黄仁勋:呼吁中美AI研究对话与合作 北京时间4月16日,据彭博社等权威媒体报道,英伟达CEO黄仁勋在一次深度访谈中指出,由A
热门专题
热门推荐
公安部就电子数据取证规则公开征求意见,拟将网络安全等行政案件纳入适用范围,并规范取证流程与核心概念。新规特别明确了获取密码、调取通讯内容等特殊程序,需经严格审批并保障当事人权利。配套法律文书也同步优化,以构建更规范且注重权利保障的取证体系。
理想L9和LIvis的定价策略刚掀起波澜,小鹏GX的最终价格就给出了更猛烈的回应——从近40万元的预售价直降至27万元起。用小鹏产品矩阵负责人吴安飞的话说,这叫“9系的产品,8系的价格”。 这12万元的下调,效果堪称立竿见影。发布会次日,小鹏集团港股股价一度大涨超8%。更关键的是市场订单:上市12小
5月21日,环塔拉力赛新疆且末赛段大营迎来了一位备受瞩目的访客——知名零售企业胖东来的创始人于东来。他专程前往长城汽车车队营地,与参赛车手及后勤团队进行了深度交流。据悉,于东来此次自驾越野之旅已历时一月,随行车队中包含多款国产越野车型。经过实地驾驶与多维度对比,他对以长城汽车为代表的国产越野车品质给
比特币官方入口在哪里?一个核心门户的权威指南 说起比特币,很多人第一反应是去找它的“官网”或“官方App”。但这里有个关键点需要先理清:比特币本质上是一种去中心化的全球数字货币,它不属于任何一家公司或机构,而是由一个庞大的、遍布全球的社区共同维护。因此,它并没有传统意义上由某个企业运营的“官方网站”
Ring-2 5-1T是什么 在当今大模型技术激烈竞争的赛道上,追求更长的上下文处理能力和更强大的深度推理性能已成为核心焦点。近日,蚂蚁集团旗下的inclusionAI团队重磅开源了Ring-2 5-1T模型,这是一个参数规模高达万亿级别的混合线性思考大语言模型。该模型基于先进的Ling 2 5架构