为什么互联网公司CFO和CISO需要相处好

业务作为捕获和扩展收入的系统而存在。该系统的核心是CFO和CISO之间的关系。首席财务官渴望消除所有的收入障碍。在许多情况下，消除这些障碍会使CISO难以保护业务。在不久的将来，企业的成功将在很大程度上取决于CFO的能力以及CISO的能力。

在向董事会报告网络风险时，这方面的工作很艰难。笔者曾参加了RSA 2018上的一个会议，该会议的重点是这个主题。此讨论有两个引人注目的内容：

1、向董事会报告网络风险是一个普遍存在的问题（无论行业或公司规模如何）。从对话中可以很明显地看出，将网络风险传达给非技术专业人员是必须具备的，而不是必须具备的。声音清晰清晰，不受公司或行业规模的影响。

此外，根据出席会议的咨询师人数众多，他们“为董事会提供了有关如何理解网络的建议”，反之亦然“为CISO提供了有关如何在IT之外进行交流的建议”，人们可能会得出结论，CISO的语言与国王的英语相去甚远。 。

2、有两组CISO。基于整个RSA周期间与数十名CISO的交谈，CISO适合两个阵营的想法变得清晰。这两个阵营是：与他们的CFO建立了开放式沟通的CISO，以及没有的CISO。

两组都面临类似的挑战：

1、资源有限，无法应对无限威胁

2、网络安全性与网络进行业务优化所需的速度和开放性之间的张力

3、审计和法规要求与用户行为和业务流程

4、从无限的重要事项列表中知道下一步要做的最重要的事情

A组有一个前进的方向，知道要关注的重点以及董事会需要什么，并且董事会零问题。

B组过着像卡夫卡一样的生活，从不知道他们应该做什么，并被简化为合规重点。该小组的评论是“我们试图遵守已知的最佳实践和合规性框架，并希望做到最好”。

因此，尽管CISO谈论CVE，BOT和补救措施，而CFO谈论SEC，收入和ROI，其中一个在周日晚上观看国土，另一次观看十亿美元，但CISO和CFO实际上有很多共同点：

1、两者的任务都是调配有限的资源以实现最高的生产率

2、两者都应对不断变化的风险格局和承受能力

3、识别和建模风险及其对业务的影响

4、两者都处理公司最敏感的数据

公司的底线是首席财务官的责任，由CIO和CISO控制的数据资产和生产力引擎对该底线的影响最大。内部不应有比CFO和CISO更大的盟友，因为CFO对确保公司的网络安全最感兴趣，因为它可以确保他们的底线。实际上，CFO通常是组织中针对网络攻击和社会工程的最有针对性的个人。

展望未来，CISO和CFO的一些机会包括：

1、在成本方面传达风险。

2、将缓解措施和安全性增强方面的收益传达给企业。

3、意识到董事会了解方案而不是技术。构建安全折衷创建的业务场景。

4、定期开会。CISO需要了解与收入相关的最重要的应用程序和数据。首席财务官需要了解5、特定于这些应用程序的技术和风险以及如何对其进行改进。

CISO和CFO的关系是一个复杂的关系，并且肯定会在以后的许多博客文章中充当重要角色。但是，除了复杂性之外，它们是自然的盟友，它们的利益过于一致，以至于它们不能朝同一方向前进。我在下面列出了一些促进这一联盟的最佳机会。（欢迎转载分享）