网络安全预算持续上升,但许多安全领导者仍然难以解释这支出给企业带来了什么。Expel的一项新研究通过对大企业安全和财务高管的调查来检查这种脱节。这项研究考察了这两个群体如何看待风险、投资决策以及他们的工作关系。
共同的优先事项,不平衡的信任
安全领导者认为他们的优先事项与业务目标一致。大多数人说网络安全支持公司目标,并在企业战略中发挥作用。财务领导普遍同意网络安全很重要,并经常将其视为业务规划的一部分,而不是背景技术功能。
当财务部门评估执行情况时,信心会下降。财务高管报告说,对安全团队解释业务影响、根据风险确定投资优先次序以及将计划与公司战略联系起来的能力的信任度不平衡。这些担忧影响了预算的审查和批准方式。
网络安全高管们认识到了这种犹豫。许多人表示,他们对当前的网络安全投资与业务风险敞口密切相关缺乏信心。战略协议是存在的,但对结果的信心仍然很脆弱。
风险对不同的团队有不同的含义
安全从业者倾向于通过合规失败、失去客户信任或声誉受损来定义不可接受的风险。财务损失在他们的回应中分量较小。
财务团队通过财务建模和业务连续性来构建风险。投资决策侧重于避免损失、节省时间和减少中断。合规性指标和内部安全报告在这些评估中的影响较小。
这些不同的定义塑造了对话。安全团队在控制、成熟度和减少威胁方面发言。财务团队寻找预计的财务影响和运营成果。双方都相信他们沟通得很好,即使使用不同的参考点。
报告差距,决策缓慢
安全团队经常报告与事件、控制成本和计划成熟度相关的指标。财务领导人表示,这些投入很少支持他们自己的投资决策。他们想要将网络安全支出与企业目标、运营稳定性和可衡量的节省联系起来的报告。
这个差距减缓了审批速度。财务利益相关者将回报的不确定性、绩效可见性有限和高前期成本列为经常性问题。安全决策者用财务认为有意义的术语来描述传达紧迫性和风险的困难。
其结果是一个循环,安全团队感到资金不足,财务团队仍然没有说服力。
“网络安全需要学会用商业语言说话。财务是董事会的通用语言。每个人都需要学会用财务使用的术语说话——这会影响底线、业务中断的风险等,”Expel首席安全官Greg Notch说。
协作发生,对齐滞后
两个小组都以积极的措辭描述他们的工作关系。许多人表示,他们很早就就网络安全主题进行合作。然而,定期会议并不能保证共同理解。
协作通常停留在总监级别。CISO和CFO之间的直接接触较少。高管层面互动程度较高的组织报告了对优先事项的更紧密的一致性,并对网络安全的业务价值有更大的信心。
不太频繁的战略讨论与风险容忍度和预算预期的较弱一致性有关。时机和资历会影响信息如何转化为决策。
预算随着未解决的问题而增加
安全和财务领导者都预计明年网络安全预算将增加。安全领导者预计收益更大,而金融领导人预计增长幅度更大。
最终投资决策的责任各不相同。财务受访者指出,安全领导者、财务团队、IT和行政领导层是决策者。这种缺乏一致性使问责制复杂化,并减缓了共识。
财务高管表示,更强大的商业案例、更好的报告和网络安全风险教育将有助于证明更大的投资是合理的。他们还指出将技术风险转化为财务术语,并分担结果的责任。
“网络安全团队必须了解对业务重要的关键绩效指标,以及他们的运营如何逐步提升到这些关键绩效指标。这都是关于网络安全团队能够用业务语言传达他们的影响如何促进这些关键绩效指标——这都是关于美元和美分的,”Notch总结道。
原文链接地址:https://www.helpnetsecurity.com/2026/01/15/expel-cybersecurity-investment-decisions/
暂无评论内容