在采訪中，Resilience公司的 CISO Chris Wheeler談到了CISO如何應對不斷變化的網絡安全預算。雖然總體支出有所增加，但許多CISO表示，增加的預算并未滿足他們最迫切的需求。Wheeler解釋了各企業如何重新分配資金、衡量投資回報率，并將網絡安全計劃與業務目標相結合。

許多CISO表示，網絡安全預算總體呈上升趨勢，但增長領域未必是他們最需要的。根據您的經驗，哪些領域的預算在增加，哪些領域的預算停滯不前或有所縮減?您能否舉一個現實中的例子，說明您是如何重新調整資金分配優先級的?

網絡安全預算的規模可能有所增加，但年度總增長率正在放緩。這在很大程度上取決于行業。例如，我們觀察到，科技和保險行業的網絡安全預算每年增長5%，但醫療保健、專業服務和零售等財務不確定性較高的行業，增長較少，甚至出現下降。

這很大程度上與網絡安全教育現狀有關。各組織對威脅態勢以及所投資的網絡安全舉措的潛在投資回報率，通常更具韌性，且了解更深入。正因如此，我們實際上看到大量資金專門流向了CTO和CFO的預算中，尤其是在AI興起的情況下。

第三方風險管理是各組織不得不合理調整支出的一個領域。盡管多年來一直在工具和分析師方面進行投資，以審查合規文件，但我們仍不斷看到第三方服務提供商造成的損失不斷增加。我看到客戶對僅合規性評估的投資回報率提出質疑，許多客戶正在削減支出。一些客戶正在整合第三方服務提供商，還有一些客戶干脆接受了第三方集成的風險。

與能創造收入的部門不同，網絡安全投資往往沒有直接的ROI。向董事會匯報時，您如何闡述投資回報率或價值創造?您能否舉例說明，您是如何成功證明在零信任、威脅情報或AI工具等領域的重大投資是合理的?

您必須向董事會提出一個商業案例，以展示您的網絡安全計劃的ROI。只有CISO以財務術語量化風險，才能做到這一點。我們的方法依賴于通過一種名為損失超越曲線的工具所呈現的風險價值。這使CISO能夠向董事會展示其安全投資正在減少的可能出現的情況和最壞情況。該模型考慮了直接財務損失、業務中斷和其他風險，所有這些都基于實際損失。

最近，我通過展示某項零信任和AI風險管理關鍵技術在未來三年內將降低的風險量，證明了在該技術上進行重大投資的合理性。

您如何將網絡安全預算與更廣泛的業務目標(如數字化轉型、并購或拓展新市場)相結合?您能否分享一個例子，說明這種結合如何幫助您獲得了原本可能被拒絕的資金?

CISO在制定預算前，需要了解董事會的優先事項。這意味著全年要與董事會保持一致的溝通，以充分了解他們的需求。

與董事會成員建立良好關系，可以洞察年度預算周期之外的機遇性資金，使您能夠向董事會提出資金申請。例如，如果您的公司正考慮進行并購交易，那么規劃諸如系統集成顧問等勞動力成本，或因人員流動而進行重新招聘/補缺的成本，就至關重要。此外，關注審計和驗證工具等能力，將有助于更快地整合，并迅速識別和解決盡職調查中未發現的風險。

展望2026年的規劃，哪些領域(如AI安全、身份認證或第三方風險)需要分配新的預算?為什么這些是優先事項?您如何衡量這些投資是否取得了成效?

我認為AI和后量子安全是需要更多投資的兩大領域。幸運的是，它們與現有能力和流程(如測試程序、數據治理、資產和庫存管理以及安全防護)存在一些重疊，然而，這兩項舉措都存在一些服務不足的業務問題，需要定制解決方案和新的支出，例如加密庫存和大型語言模型安全檢測與響應。

CISO的一個理想做法是，在3-5年的時間范圍內，將預算的10%或更多分配給新興風險，然而，普通CISO的可支配預算僅為3%，即便是在大型企業中，大多數CISO也感覺人手不足、資源匱乏。盡管我很想說存在一個現成的風險應對模型，但我認為并沒有。因此，我建議采用以下一些原則：與執行團隊進行風險訪談，以減少自身風險價值的不確定性，使用損失超越曲線等工具，向董事會展示您的預估和不確定性，并優先開展影響最大的舉措。