为何网络安全投资刚刚成为首席财务官们的“必备事项”

(SeaPRwire) –   早上好。随着美伊冲突持续，银行和企业面临来自伊朗或其代理的风险加剧——不仅针对其自身系统，还针对支持财务运营的供应商和服务提供商。

对首席财务官（CFO）而言，这已不再是后台IT部门的问题；而是涉及资产负债表、流动性和信息披露的风险。

“我们正处于年度规划周期和保险续保阶段，这使得当前成为CFO重新评估供应商网络弹性和保险覆盖充足性的关键窗口，”职场体验与员工参与平台CXApp Inc.的首席财务官乔伊·姆巴努戈（Joy Mbanugo）告诉我。“鉴于我们当前所处的地缘政治环境，网络安全投资已不再是‘可有可无’，而是与人工智能投资同等重要的‘必须项’。”

据姆巴努戈介绍，CXApp正将供应商网络风险视为重大企业风险，将弹性评估纳入其框架，更新事件应对预案，并根据供应商风险敞口调整保险覆盖范围。“保护敏感数据并维护利益相关者信任至关重要，这意味着我们需要从被动的事件响应转向主动的风险量化，其严谨程度应与我们应对任何重大资产负债表风险时一致，”她说。

但这一问题远不止于单一地缘政治热点。网络威胁联盟（Cyber Threat Alliance）总裁兼首席执行官J·迈克尔·丹尼尔（J. Michael Daniel）告诉我，无论当前局势如何，CFO都应持续重视网络安全。丹尼尔于2017年加入网络威胁联盟（CTA），此前曾担任白宫网络安全协调员。在此之前，他跨越多届政府，在管理与预算办公室（Office of Management and Budget）担任高级职务长达17年。

“威胁环境在持续演变，”他表示。金融机构因涉及资金流动，“始终会是攻击目标”。

他认为，这种持续存在的风险要求高层进行更清晰的沟通。丹尼尔将CFO与董事会的沟通方式，与网络安全领导者应有的沟通方式进行了类比。

董事会不会关注“我们如何计算印第安纳州四项资产的折旧”这类细节，他说。

相反，他们想要的是宏观视角：“CFO在管理财务风险方面是否做得很好？能否用通俗语言解释他们如何为公司管理这一风险？”

从安全角度看，情况也应如此，丹尼尔表示。首席安全官（CSO）、首席信息安全官（CISO）和首席信息官（CIO）应明确说明他们正在采取的措施、投资方向、如何通过网络保险转移风险、选择接受哪些风险——以及这一策略是否会随威胁变化而调整。

不过，即使最完善的董事会层面策略也无法阻止所有事件。大规模攻击固然令人担忧，但针对员工的网络钓鱼和其他社会工程攻击同样值得关注，后者往往是攻击的突破口。

“事实上，我们网络安全专业人士通常建议的措施并非什么高深技术，”他说。“这有点像你祖母告诉你的：如果事情好得不像真的，那可能就不是真的。”

攻击者会利用情绪并制造紧迫感，丹尼尔表示。如果一条信息让人感觉很急迫，务必仔细核查。

CTA的建议包括一项名为“九秒行动”（Take Nine）的倡议。其理念很简单：在回应前等待九秒，丹尼尔说。

然后通过另一渠道验证请求——如果信息通过邮件发送，就通过短信或电话确认；如果通过短信发送，就发邮件确认。他表示，这一停顿和交叉验证是降低社会工程攻击成功风险的最佳方式之一。

在这种环境下，表现最出色的CFO似乎将是那些将网络安全视为核心风险管理领域，而非技术注脚的人。

谢里尔 埃斯特拉达