在采訪中，CBIZ的董事總經理John Verry討論了保險公司和金融風險專業人員如何通過不同的視角來評估網絡安全成熟度，他還展示了如何將網絡風險以商業術語表述，以增強投資理由，并將網絡安全提升為戰略驅動力。

CISO們應該了解保險公司和金融風險專業人員是如何評估網絡安全成熟度的?

網絡安全成熟度的評估因利益相關者而異，有效的項目必須考慮到這些不同的視角。金融風險專業人員從企業風險管理(ERM)的角度來評估，考量網絡風險如何被識別、緩解，以及如何與財務、運營和監管影響保持一致，另一方面，網絡責任保險公司則基于對網絡安全事件的暴露程度來評估成熟度，使用自我評估、第三方評估、外部掃描、文件審查，有時還有訪談來估算事件發生的可能性和成本。

好消息是：將你的項目與一個可信、開放的框架(如ISO 27001或NIST網絡安全框架)保持一致，有助于彌合這些不同的視角，這能讓你展示出一個主動的安全態勢，減少與ERM相關的擔憂，并可能獲得保險激勵——同時使用一種能讓風險、安全和高層管理人員產生共鳴的通用語言。

同樣(有時甚至更為)重要的是，采用基于框架的方法，特別是通過ISO 27001、HITRUST或SOC 2等第三方認證來驗證時，能增強與你最關鍵的受眾——即你的客戶之間的信任。

CISO們以財務或商業術語向非技術高管傳達網絡安全風險的最有效方式是什么?

我們常見的一個挑戰是缺乏正式的ERM程序，或者風險職能的碎片化，其中企業、網絡安全和第三方風險使用不同的影響標準進行評估，這種缺乏一致性的情況使得CISO們難以與高層管理人員和董事會進行有效溝通，標準化風險程序并使用一致的影響標準，能使風險比較更加清晰，共享理解更加深入，決策也更具戰略性。

隨著AI特定法規和框架的興起，包括NIST AI風險管理框架、歐盟AI法案、紐約市偏見審計法以及科羅拉多州人工智能法案，這一挑戰進一步加劇。AI并不完全屬于一個單一的風險類別;它橫跨企業、網絡和第三方領域。因此，建立一個有效的AI風險管理項目需要一個協調的、跨職能的方法，該方法要與更廣泛的ERM戰略相整合。

前瞻性的企業是如何將網絡安全融入其整體企業風險管理戰略中的，CISO在塑造這種整合方面扮演著什么角色，特別是在那些網絡安全歷史上被視為孤立IT問題的行業中?

網絡安全傳統上被視為一個“價值保全”的職能，專注于風險緩解，然而，前瞻性的CISO們認識到，一個成熟、戰略性的安全項目也能通過支持創新/數字化轉型和建立利益相關者信任來推動“價值創造”，當與組織的戰略目標保持一致時，網絡安全就成為了商業的推動者，打破了孤立，并將CISO提升為了真正的戰略領導者。

不幸的是，許多企業，特別是制造業中的企業，在采用這種思維方面較為遲緩。在這個行業中，網絡安全歷史上一直處于次要地位，而現在正面臨著嚴重的后果。國防工業基地(DIB)供應商可能因延遲CMMC合規努力而失去現有合同或被取消新機會的資格，這通常需要12到18個月才能完成。同樣，汽車供應鏈制造商也面臨著TISAX認證成為基準要求的壓力。

教訓是明確的：網絡安全不再是可選的，它需要積極主動，而不是被動應對。它是一個戰略差異點，那些不采取行動的組織可能會落后。

CISO們應該如何與CFO或風險委員會就網絡風險容忍度進行對話，特別是在為安全投資辯護時?

使用清晰、與業務保持一致的風險術語(如高、中、低)來傳達安全投資，并使用既定的影響標準(如財務暴露、運營中斷、聲譽損害和客戶影響)來辯護支出，并使其與企業的優先級保持一致，這會顯著簡化辯護過程。

例如：“為擬議的安全監控工具提供資金對于實現CMMC認證至關重要，這直接支持了我們在國防工業基地中2027年500萬美元的收入目標?！?/p>

在我們的虛擬CISO參與中，我們發現基于風險、以結果為導向的方法對于執行領導層來說非常有效。我們以財務和運營術語來界定網絡風險容忍度，量化擬議投資的業務價值，并將安全舉措直接與戰略目標聯系起來。我們盡量減少技術術語的使用，強調權衡，并向領導層呈現清晰、決策就緒的選項，這些選項既反映了行動的成本和后果，也反映了不行動的成本和后果。

CBIZ與許多中型企業合作。與大型企業相比，它們對網絡風險的看法有何不同，你在該領域看到了哪些獨特的風險管理盲點或機會?

中型企業往往缺乏內部資源或專業知識來領先于新興的網絡安全、隱私和AI相關風險及法規。后果可能很嚴重，從數據泄露和監管處罰到錯失市場機會。

這一挑戰為中型企業和服務提供商都創造了戰略機會：提供按需的虛擬服務，這些服務能夠以全職員工成本的一小部分來提供CISO、數據隱私官、CIO和法律能力，這些模式能夠實現更快的合規、更強的韌性和更敏捷的風險管理。