从董事会获得充足IT安全预算的技巧

By Jeffrey - 资深IT经理人，IT运营和安全顾问，历任多家知名跨国企业包括麦肯锡大中华区、通用电气公司、壳牌石油、英美烟草等公司IT总经理

网络安全应该是任何现代企业数字安全的重中之重，当IT管理者察觉到黑客攻击或企业新的工作方式带来的IT安全风险，以及可能对公司商誉、财务和运营的危害时，向老板和管理层提议IT安全投入，一定就会被采纳吗？表面上有越来越多的人认识到整个企业对网络安全的需求，但在经济大环境的影响下，却很难说服那些掌握钱袋子的人。学会讲故事给老板和整个管理层，让他们能够理解并完全接受建议中为保证公司安全而需要采取的措施并投入预算，这将会大大利于发挥IT管理的关键作用。

某些情况下，如果有了董事会的支持和对需要做什么以及如何做的理解，IT安全团队将更容易为额外的资源和新技术的投资提出理由，并在组织层面上推动变革，确保遵守任何新的政策。如果从新的实习生到公司的高层人员都能遵循同样的规则，它使安全团队更容易管理，也使整个安全藩篱更容易建立和巩固。

在开始规划安全路线图之前，IT经理应该考虑哪些最重要的事情？

正确识别关键的利益相关者并让他们参与进来

最重要的一件事是确保让关键的利益相关方参与进来。这一点怎么强调都不为过。很多时候人们有很好的想法，但因为没有在正确的时间让组织中的决策者参与进来，并在进程中始终保持他们的高参与度，项目在开始就失败了。

搞清楚谁对决策最有影响力，谁掌握批准预算的关键权力。同样不可或缺的，谁对实施项目具有关键影响，以及谁是项目的关键用户或受益人。每个角色有不同的技术水平、适合的沟通方式和沟通频度。制订一个合理的沟通计划是必须的。

使用正确的沟通语言

在影视剧和书本的世界里，黑客总是比较帅气迷人，像电影《黑客帝国》里的尼欧和崔妮蒂。他们似乎总是站在正义的一面，帮助大众对付邪恶的个人或组织。

然而实际上，这使得IT专业人员很难说服没有技术背景的人接受真正的威胁概念。流行的黑客形象可能会掩盖这样一个事实，即网络犯罪多数来自于大型的、架构良好的组织，他们的目标很明确-金钱。在这种环境中，任何企业都可能成为组织犯罪的目标。

当公司的预算和资源有限，需要在众多项目中分配时，这钟对黑客的误解是争取IT安全预算需要克服的最大障碍。幸运的是，可以用一些策略来向非技术性的执行团队解释为什么需要强有力的安全投资。

一个好的IT讲述人需要确保听众能够理解技术概念的同时，充分了解安全威胁的现实和风险度，以及可能对企业业务产生的影响，甚至IT安全如何增强企业的竞争力。需要仔细平衡哪些内容是管理者应该听到并能够理解的，哪些是不需要听到或者太过技术而不易理解的，或者需要听到的内容，但必须换一种容易被理解的说法。

不能指望每个管理者都对IT和安全问题有深入的了解。有些人可能对技术问题有基础。但是，仍然需要用每个人都能明白并了解的语言与他们交流，并且传达投资网络安全战略的重要性。

很多年前，当我试图了解为什么我们作为IT专业人员不能让我们的安全项目在企业和董事会中落地时，我很快得出了一个结论：我们在用不同的语言交谈。IT人强调的通常都是技术，而企业用利润和亏损谈论风险。那么，作为信息安全专业人士和技术专家，如何用管理者的语言来表达呢？我们如何让他们理解？

如果管理层不理解他们需要购买的东西，就很难得到他们的支持。将技术优点的阐述转换为可能针对业务的威胁是克服这一问题的关键。

商务人员最懂得哪种语言呢？ 商务案例、数字和图表！

威胁的背景分析/商业案例

在董事会的支持下，引进所需的技术并在整个公司中成功推广将变得更加容易。您的目标是让董事会清楚地了解所涉及的风险水平、未能解决这些风险的潜在成本，以及您打算如何构建安全系统以防止这些违规行为发生的清晰路线图。案例必须有力且明显。

很多时候，人的直觉告诉他们，黑客入侵是小概率事件，没有必要为一个小概率事件投资。但人类的直觉在评估风险方面是出了名的糟糕，经常低估或高估风险。然而作为业务管理者，很多时候靠的并非直觉，而是数字，他们对数字的敏感是与生俱来的。

为了向非技术性的管理层成员强调这一点，值得参考的数字是每年的网络安全的年度网络安全漏洞调查。这在网络上很容易获得，例如美国及欧盟每年的年度网络安全漏洞调查。去年的调查报告指出，有39%的企业在过去12个月中受到了网络攻击，而对于大中型企业，这个数字上升到62%。在受到攻击的企业中，有超过三分之一的受害者彻底结束了公司业务。

这是需要强调的一点，那些没有受到攻击的61%企业只不过袭击事件尚未发生，并不意味着它将不会发生。被攻击的不仅仅是大公司，同一家企业也不太可能年复一年地成为目标。在网络安全方面，不论公司规模，遭受攻击几乎只是一个时间问题。

2022年度网络安全漏洞调查发现，在与研究人员交谈的1243家企业中，中型和大型企业遭受的攻击事件单次平均直接损失为167,810元，或小规模企业的36,330元。

而据调查统计，在2022年，单个企业发生IT安全事故的平均直接损失达到了历史新高，平均为3,132万元。这一数字比2021年增加了2.6%。这既包括短期的直接成本，即在攻击发生时支付的成本，如咨询费或赎金，也包括长期的直接成本，如法律费用、罚金、培训等。（参见我的另一篇博文：IBM研究报告：企业平均数据泄露成本达到历史新高_jeffreyzhong的博客-CSDN博客）

此外，还有其他一些难以标价的成本，如商誉和业务的损失。如果商业伙伴不相信我们能保证自己或者他们的数据安全，或者担心如果他们同我们继续合作可能会面临重大监管困扰，他们就会转向其他合作伙伴。

鉴于董事会最终掌握着任何企业的钱袋子，明确说明任何网络攻击可能带来的业务直接损失，并解释随之而来的间接灾难，是IT安全争取预算的绝佳途径。所有这些数字和图表组成的商业案例会更清晰地在管理者脑海中描绘IT安全威胁的严重性以及可能带来的损失，以及值得为之付出多少来预防这一切的发生。

建立IT安全购物清单

现在管理层已经可以明白IT安全的重要性，并准备为此投资，那么多少预算才合适？这些钱又会花费在哪里？会带来怎样的效益或节省？

如今的市场上在有数百种，甚至数千种安全产品和服务可供企业使用，从最基本的杀毒软件到大型的安全信息和事件管理（SIEM - Security Information and Event Management）系统。每种产品都有自己独特或具有优势的功能，没有一种产品可能满足一家企业所有的需求。事实上，同时使用几个安全系统是相当普遍的，有时甚至来自多个供应商。

不过，所有这些都是有成本的，而且不仅仅是在价格方面。这些不同的系统都需要由具有相关专业知识的人持续管理。同样重要的是，要确保选择的任何产品都能很好地配合。

考虑到这些，需要有一些方法来确定可能需要的产品类型，以帮助保持业务安全。

• 什么是最需要被保护的？

没有无价值的数据，但有些数据确实比其他数据更有价值。识别公司所拥有的最重要的数据或流程--那些如果丢失、删除或关闭将可能是会使企业失去业务的东西。这可能是一条生产线，一个严密保护的配方，一个客户数据库，或其他数据。

这是第一个安全的重点所在。幸运的是，这也应该是董事会最容易被说服投入资源保护的地方。

对于最优先的保护对象，最好的防御措施将因企业而异。也许这包括对一些关键的基础设施进行物理隔离，在数据中心或服务器室安装生物识别装置，或者其他东西，如将所有敏感数据加密并置于防火墙之后。当确定了这些顶级安全对象需要采取的具体保护方式之后，接下来才可以去考虑公司应该投资的其他安全措施。

• 病毒、恶意软件和更多

虽然可能有所不同，但企业现在面临的许多威胁与多年来，甚至几十年来都是一样的。被勒索在各地的CISO和CFO的噩梦中占据了最高位置，这是有原因的。据统计，2021年超过一成的IT安全事件都包括勒索在内，自2019年首次出现以来，双重勒索软件变得更加普遍。不过，勒索软件并不是唯一可能威胁到业务的恶意软件。密码破解软件、击键记录软件等会记录和发送敏感数据的犯罪工具，以及几乎不造成直接损害但会扰乱企业顺利运作的普通病毒，都会对企业安全运作造成威胁，需要时间和资源来消除。

为了抵御所有这些类型的攻击，重要的是确保企业拥有涵盖所有这些攻击的保护措施，并能跟上新的和正在出现的威胁。

• 人为疏忽

人为疏忽是时常出现的，正如许多安全和IT专业人士所知道的那样，冒名或欺骗他人非常容易，甚至在没有使用任何一个黑客工具的情况下，黑客能够仅仅凭借一些小伎俩，就很容易地能够欺骗他人交出登录密码或实现资金转移。

充足的培训是抵御人为疏忽的一个重要部分，但不是全部。

双重认证技术或许可以提供帮助。在一切可能的情况下实施双重认证，使得有人从雇员那里偷取密码，或者即便在获得登录密码后使用这些密码登录变得更加困难。

检测和阻止网络钓鱼邮件的电邮过滤器和扫描软件也是保持企业安全的根本。因为人类有不假思索按照惯例行动的特征，网络钓鱼邮件看起来和日常收到的邮件几乎一模一样，却往往包含恶意下载的链接。电邮过滤器和扫描软件将有助于防止前面提到的基于软件的威胁。

• 独特的保护需求

每个企业还需要考虑他们某些独特的保护名单，例如，一个快消品零售企业可能需要针对门店收银机（POS）的额外防护。

• 不断发展更新

另一个重点的是考虑如何在快速发展的网络安全世界中管理、维护和保持采用最新防护技术。

前面提到的双重敲诈勒索软件，在2019年之前几乎闻所未闻，现在，网络黑客将这种战术视为加倍获利的机会，他们通过加密方式对一个组织的系统渗透进行勒索，同时在以后利用泄露的数据索要赎金。几年前建立的网络安全系统和内部管理的网络安全系统，如果不进行全面更新，就无法完全抵御这种新风险。

争取预算

一旦确定了需要什么以及为什么需要，就可以回到董事会，列出需要采购的系统或者项目，金额，以及他们将如何有效保护业务，并推算能够预防的合理损失额，最后，制订好保障落地的项目推进计划。

出发，准备一份精彩的PPT和演示吧。

还有，必须保证这种沟通不是一次性的，要尽可能保持定期的对话。通过定期向管理层或者董事会提供安全简报和项目进展将确保他们认为自己是利益相关人，并更加关注IT安全事态，从而使未来任何的沟通更加顺畅。

善用顾问

或许很多IT人对这种沟通感到陌生，或者不太擅长于非技术层面的沟通技巧。常用的方法是通过聘用安全顾问和购买外部服务。与其让自己花费大量时间精力而不能顺利得到预算，不如考虑请一个顾问帮助IT人员，从撰写案例，方案，制订预算，项目计划和参与实施，从头到尾参与，监理，并帮助实施后所有或部分安全藩篱的运行。