现代CISO如何用商业案例证明价值并获取预算支持？

尽管全球网络安全预算总额仍在持续攀升，但其增长速度已明显放缓，并且现有预算分配往往无法满足企业最紧迫的防护需求。Resilience公司首席信息安全官Chris Wheeler指出，CISO们正被迫重新思考预算配置策略：从单纯的防御投入转向以投资回报率和业务价值为导向的风险管理。

在专访中，Wheeler深入探讨了CISO如何应对不断变化的网络安全预算格局。虽然总体支出有所增加，但许多安全负责人表示，预算的增长并未覆盖他们最关键的防护需求。他具体解释了企业如何重新调配资金、量化投资回报，并将安全计划与核心业务目标紧密结合。

多位CISO反映，虽然网络安全预算总体呈上升趋势，但增长领域未必是他们最需要的方向。根据您的经验，哪些具体领域的预算在增加，哪些领域的投入陷入停滞或出现缩减？能否分享一个具体案例，说明您是如何动态调整资金分配优先级的？

虽然安全预算规模可能持续扩大，但年度总增长率正在放缓。这一现象很大程度上与行业特性相关。例如我们观察到，科技和保险行业的网络安全预算年均增长约5%，而医疗健康、专业服务和零售等财务不确定性较高的行业，增长幅度较小，甚至出现下降。

这种差异与网络安全教育现状密切相关。相比其他部门，安全团队对威胁态势和安防措施的潜在回报通常具有更强的韧性认知。正因如此，我们实际看到大量资源正流向CTO和CFO主导的预算中，特别是在AI技术兴起的背景下。

第三方风险管理是企业不得不合理调整支出的重点领域。尽管多年来持续投入工具和分析师资源用于合规文件审查，但供应商造成的损失事件仍在持续增加。我注意到客户开始质疑单纯合规性评估的投资回报，许多企业正在削减这类支出。部分客户正在整合供应商体系，还有一些则直接接受了第三方集成的潜在风险。

与能直接创造收益的部门不同，网络安全投资往往难以体现直观的ROI。在向董事会汇报时，您如何阐述投资回报率或价值创造？能否举例说明您是如何成功证明在零信任、威胁情报或AI工具等领域的重大投资合理性？

您必须向董事会呈现具体的商业案例，以展示网络安全计划的投资回报。只有通过财务术语量化风险，CISO才能实现这个目标。我们的方法依托于一种名为"损失超越曲线"的风险价值呈现工具。这使安全负责人能够向董事会演示其投资正在减少的潜在损失情景。该模型综合考虑了直接财务损失、业务中断和其他风险因素，所有这些都基于实际损失数据分析。

最近，我通过展示某项零信任与AI风险管理关键技术在未来三年内将降低的风险量，证明了在该技术上投入重大资金的合理性。

您如何将网络安全预算与更广泛的业务目标（如数字化转型、并购或新市场拓展）相结合？能否分享一个实例，说明这种结合如何帮助您获得了原本可能被拒绝的资金？

CISO在制定预算方案前，需要深入理解董事会的战略优先级。这意味着全年都需要与董事会保持持续沟通，充分把握他们的核心诉求。

与董事会成员建立良好关系，可以帮助您洞察常规预算周期外的机遇性资金，使您能够适时提出额外资金申请。例如，如果您的公司正在考虑进行并购交易，那么规划系统集成顾问等劳动力成本，或针对人员流动而进行的招聘补充成本就显得尤为重要。此外，关注审计和验证工具等能力，将有助于更快地整合现有资源，并及时识别解决尽职调查中未发现的风险。

展望2026年的规划，哪些领域（如AI安全、身份认证或第三方风险）需要配置新的预算？为什么这些成为优先事项？您如何衡量这些投资是否取得了实效？

我认为AI安全和后量子安全是未来需要重点投入的两大领域。值得庆幸的是，它们与现有能力（如测试程序、数据治理、资产和库存储存管理以及安全防护）存在部分重叠，但这两项举措都存在服务短板，需要定制解决方案和新增支出，例如加密库存储存和大型语言模型安全检测与响应体系。

对CISO而言，一个理想的解决方案是在3-5年周期内，将预算的10%或更多分配给新兴风险领域。然而普通CISO的可支配预算仅为3%，即使在大型企业中，多数安全负责人也感觉人手不足、资源匮乏。尽管我很想套用现有的风险应对模型，但我认为现实情况更为复杂。因此，我建议遵循以下原则：与执行团队进行风险访谈以降低自身风险价值的不确定性，运用损失超越曲线等工具向董事会展示您的评估模型，并优先开展影响力最大的防护举措。