信息系統安全在當今企業中非常重要，以抑制與信息屬性相關的許多網絡風險。儘管細節安全經理、董事會和組織中的高級管理人員存在嚴重分歧，但他們可能仍會拖延，接受細節保護預算計劃，簽證 vi 其他他們認為有的東西，如廣告和促銷更高的投資回報率 (ROI)。在那之後，作為首席信息安全官 (CISO)/IT/信息系統經理，您如何鼓勵管理層或董事會投資於細節安全和保障？

我曾經與一家大型地區性銀行的 IT 經理進行過一次交談，他分享了他在獲得批准的信息安全預算方面的經驗。IT 部門正在與營銷部門爭奪一些資金，這些資金實際上是從年度預算中節省下來的。” 你看，如果我們購買這個廣告和營銷項目，目標市場部分不僅會幫助我們創造和超越數字，而且還會接近我們可能將我們的融資組合增加一倍以上的計劃。” 廣告和營銷人員建議。另一方面，IT 的反對意見是“通過積極獲取更強大的入侵預防系統 (IPS)，他們肯定會減少安全案例”。監測決定將額外資金指定給廣告和營銷。IT 人員想知道，他們實際上做錯了什麼，廣告人員是對的！那麼，您如何保證您獲得信息安全工作的支出計劃授權呢？

就保護風險投資而言，管理層必須重視不作為的影響，如果發生違規行為，公司不僅會因品牌信心下降而遭受聲譽和消費者的損失，而且還會違反可能會導致收入損失以及對組織提起訴訟，在這種情況下，好的廣告和營銷項目可能會停止工作以挽回您的公司。

任何類型的組織的總體目標都是為股東或利益相關者創造/包括價值。你能量化你想要獲得的對策的好處嗎？您使用哪些指標來保證對信息保護的財務投資？您對對策的異議是否符合公司的總體目標，您如何保證您的行為一定會幫助公司實現其目標並提高股東/利益相關者的價值。例如，如果公司優先考慮消費者採購和客戶保留，那麼採購您推薦的信息安全解決方案究竟如何幫助實現該目標？

大量的信息安全工作可能是由外部準則或合規性需求驅動的，或者可能是對外部審計員最近提出的問題的反應，甚至是最近系統違規的結果。例如，經濟監管機構可能要求所有銀行實施 IT 敏感性評估工具。因此，該組織被要求不顧一切地遵守，否則將面臨罰款。雖然需要對這些監管要求採取行動，但僅僅堵住漏洞和“救火”的方法是不會持久的。孤立地應用過程調整可能會導致CISM 認證在孤島中工作的環境、相互衝突的細節和術語、不同的現代技術以及與組織方法缺乏聯繫。
對特定管理需求的不熟練響應可能會導致執行不符合組織業務方法的解決方案。因此，為了解決這個問題並獲得財務批准和管理支持，您的論點和業務實例需要表明您計劃購買的服務如何符合更大的形象，以及這如何與確保公司資產的總體目標相一致.

您需要與監控溝通您想要獲得的補救措施的標準商業價值。您將從顯示/確定現有價格、後果以及不做任何事情的影響開始；如果您打算獲得的反制措施沒有到位。您可以將這些識別為：

直接費用——公司因未採取補救措施而承受的價格。
間接價格——可能被浪費的時間、主動性和各種其他業務來源的數量。機會費用——如果您建議的安全解決方案或服務沒有到位，以及這如何影響組織的可能性，則因放棄組織的可能性而產生的成本記錄和良好的聲譽。

公司因不合規而面臨哪些監管處罰？
公司中斷和生產力損失的影響是什麼？
該組織究竟會受到怎樣的影響，她的品牌或在線聲譽可能會造成重大的經濟損失？
公司風險管理不善會造成哪些損失？
我們處理哪些損失歸因於欺詐：外部還是內部？
與減輕風險相關的個人投資是多少，這些風險肯定會或通過發布對策來減少？
數據是一項了不起的公司資產，丟失究竟將如何影響我們的程序，以及從此類災難中恢復的實際費用是多少？
由於我們的不作為而導致的任何違規行為的法律後果是什麼？
根據 2011 年由 Ponemon Institute 和 Tripwire, Inc. 進行的一項研究，發現組織中斷和效率損失是不合規造成的最昂貴的後果之一。通常情況下，不合規費用是 46 家接受調查的公司合規價格的 2.65 倍。除 2 個實例外，不合規費用超過合規成本。[2] 這表明，與不採取任何類型的對策相比，支出是為了保護信息財產並遵守監管要求而進行的信息保護，實際上成本更低，也減少了開支。

一個好的預算提案需要得到組織中其他服務部門的協助。例如，我確實向之前提到的 IT 經理建議過，他可能必須審查過廣告和營銷部門，並向他們描述了一個可靠且受保護的網絡如何肯定會讓他們更容易自信地進行營銷，大多數很可能 IT 在預算方面沒有競爭對手。我不相信廣告人願意去面對客戶，當有不穩定的解決方案、系統違規和停機的可行查詢時。因此，您應該確保您得到所有​​其他業務部門的幫助，並向他們描述建議的解決方案如何讓他們的生活更輕鬆。

與監控/委員會建立關係，即使是未來的預算計劃批准，您也需要發布並提供報告以監控您最近採購的入侵檢測系統的網絡異常數量，例如，在一周內定位，現有補丁循環時間以及系統在沒有中斷的情況下運行了多少時間。減少停機時間當然意味著您已經完成了工作。這種方法肯定會向管理層表明，例如，根據確保組織連續性和信息所有權所需的計劃價值，保險單價格會間接降低。

如果要解決增值的主要問題，獲得信息安全和保障項目支出計劃的批准應該不會太困難。您需要問自己的主要問題是您建議的服務如何提高利潤？管理層/董事會需要的是確保您提出的服務一定會產生真正的長期業務價值，這與組織的總體目標一致。