公司里最该对网络安全负责任的其实是CFO

如今，一提到公司的网络风险，所有的高管团队和董事会都会问自己同样一个问题：我们如何另辟蹊径，才能避免成为下一个Equifax、雅虎或塔吉特，并保护我们股东的利益？

答案在于，我们需要大刀阔斧地重塑高管层中的一个重要角色，那就是首席财务官（CFO）的职责。对于如今的CFO来说，仅关注公司的财务风险管理工作是不够的，也是一种不称职的表现。在这个新时代，CFO需要与首席信息安全官一道，解决网络曝光缺口问题，也就是已解决的已知威胁与那些未解决威胁之间的曝光区域。缺口越大，发生事故的风险也就越大，而这些事故所导致的善后、业务丢失和股价下跌可能会带来数百万美元的成本。

在风险意识极强的公司中，CFO会采用以下策略。

1

与首席信息安全官开展合作

CFO需要与首席信息安全官合作，以了解公司的安全风险以及所有相关的财务成本。如今，在增强公司防范网络袭击的能力时，大多数CFO和安全负责人都是各自为政。最近的数据显示，39%的IT负责人认为，公司的高管层并不了解安全漏洞可能对公司声誉造成的影响。CFO与CEO和其他高管应成为安全团队的积极参与者，而不是被动的观察者，从而借助更加专注有效的网络安全技术，大幅减少收入流失。一些CFO正在与首席信息安全官和首席信息官合作，切实地为其网络曝光缺口建模。最为有效的合作方式莫过于每周召开网络暴露问题评估会议。

2

从网络安全方案中谋取红利

尽管公司的网络安全开支在近几年有所增加，但网络安全依然属于投资匮乏的领域。IT预算通常仅占公司营收的3%-7%，而网络安全预算通常仅占IT支出的5%。

也就是说，CFO的网络安全投资会给公司带来回报。2016年的报告显示，就过去两年中增加IT安全投资的公司而言，其安全漏洞发生率平均降低了6.8%，并节省了500多万美元的费用。此外，大量的数据和互联设备——物联网和智能设备如今已达到82亿台（根据Gartner的统计）——扩大了公司的受袭面，直到最近才通过安全边界得到了一定的保护。新设备带来了效率与风险方面的博弈，因为这些设备基本上难以用传统的工具进行检测。我们需要采取新的方式来应对当今的数字业务格局和不断升级的威胁水平。

重要的一点在于，CFO应了解这些新风险的藏身之地。CFO不能再像过去一样对网络安全预算和单列项目视而不见，而是需要沉下心来思考如何花销以及如何应对员工和流程。公司并不要求CFO了解具体的技术或其工作原理，但他们应了解其重要性，包括每一项新投资在弥补网络曝光缺口以及帮助公司获得长期成功过程中所发挥的作用。这要求首席信息安全官和首席信息官以负责任的态度，根据当前的安全问题和长期的数字转型目标，制定多元化的IT安全投资策略。在更好地了解了网络曝光缺口和相关财务风险之后，CFO、首席信息安全官和首席信息官能够确保在制定公司的IT安全技术方案时注重其长效性。通过这种方式来投资安全预算不仅会改善公司整体安全状况，还有助于公司的长期发展。

3

担负网络安全责任

鉴于网络风险与财务风险之间日益密切的新关联，CFO最终应担负网络安全责任。最近的调查显示，安全漏洞会导致股价平均下跌5%，营收平均下跌340万美元。此外，一旦欧盟 《通用数据保护条例》 （GDPR）于2018年5月生效，数据漏洞最多可能会导致2000万美元的罚款，或公司此前财年全球年收入的4%。

考虑到上述利害关系，CFO无法独自完成这一任务，而是应该与管理这一风险有着明确既定利益的相关成员开展紧密合作，包括首席信息官和首席信息安全官。为了实现这一目标，大多数前瞻性的首席执行官最终会考虑将安全举措和成果纳入CFO的奖金考核指标，并要求CFO和首席信息安全官定期向董事会汇报最新进展。

如今，网络事故的财务和业务影响要求CFO全面了解相关的解决方案。如若不然，公司的客户数据和上万亿的资金将面临风险。

史蒂夫·温茨（Steve Vintz）| 文

史蒂夫·温茨是Tenable的CFO，他负责公司的全球财务、法律、人力资源和信息技术业务。此前，他曾担任Vocus,Inc.公司的执行副总裁兼CFO。

时青靖 | 编辑

本文有删节，原文刊载于《哈佛商业评论》中文版2018年1月刊《CFO对网络安全

有不可推卸责任》