CIO如何确保网络安全提案顺利执行

问任何网络安全专家们所面临的最大挑战是什么，你会得到一个不同的答案——加强网络安全，管理内部威胁，防止网络间谍……

但在进一步的调查中，你也许会惊讶地发现网络安全专业人士所面临的最大挑战其实是筹集安全计划所需的资金。现在有大力的资源和技术都可以帮助企业应对日益增加的网络威胁，但是我们少有机会去学习和体验这些实践。然而，对于向公司申请相关的资金方面，却没有任何指导。

笔者在与美国国家公园服务、洛杉矶国际机场网络安全相关人员进行全面讨论之后，了解到，在任何情况下，良好的沟通是成功的关键因素，以此获得所需的资金，在几年内建立和维护一个可行的安全方案。

大多数的预算需要提交一个ROI(投资回报)分析，一个积极的ROI分析往往是资金审批的关键，然而，网络安全的预算要求更难以量化。安全的投资回报率通常是通过比较安全的投资和安全漏洞导致的损失来表达。

开始讨论预算，你要收紧成本，通过证据来描述业务风险和相关费用，但这并不容易被财务人员接受。他们主要考虑的是对公司财务的影响，因此吸引高层管理投资你的网络安全程序最好的方法是以ROI的方法来计算支出。

然而，仅仅提供一个明确的投资回报率并不总是成功的保证，还有一些额外考虑因素。

1.在提出网络安全计划之前，你最好与企业财务决策人员保持良好工作关系，并很好的维持住

如果你没做到，那么你已经慢了一步。最好的情况是，在你开口向他们要钱之前，你们的工作关系就很良好，否则你成功的几率将大大减少。

2.不要使用恐吓战术

这种方式最开始能成功，但最终，如果你所规划的安全策略是成功的，这可能适得其反，你的财务官只会看到他们提供资金但什么都没有发生。

3.获取有用的安全认证

这对你和你的团队都有益处，如信息系统安全认证专家(CISSP)和注册信息安全经理(CISM)，这给企业的财务部门带来信心，你能识别风险并能够计划和实施安全程序，保障企业网络安全。利用安全研讨会、会议、杂志等展示最新的安全资讯、威胁和保障措施等。

4.将抵御安全风险与业务联系起来

识别恶意软件，抵御黑客攻击，抵御DoS攻击，这些将令你的高层管理和财务决策者印象深刻，将这些与公司的业务联系起来将更有意义。例如，如果你的企业依托网络销售，网络安全与否将影响到网站的正常运行，高层管理可能不会优先考虑这一点，但这可能导致整个网站停运。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友