Kupata uwekezaji wa usalama wa mtandao sio tu juu ya idadi ndogo – ni juu ya kukuza uhusiano wa utendaji tofauti. Kwa CISOs, kushirikisha washikadau wakuu kutasaidia kujenga usaidizi ili kupata ufadhili muhimu. Linapokuja suala la kupata uwekezaji wa usalama wa mtandao kuna mambo mengi ya kucheza. Jambo kuu mara nyingi liko katika uwezo wa CISO kujenga uhusiano na washikadau wakuu kote katika shirika. Hata hivyo, CISO zinapewa jukumu la kulinda mashirika yao huku zikikabiliana na vikwazo vya bajeti. Ingawa karibu theluthi mbili ya ripoti ya ongezeko la bajeti ya CISOs, ufadhili umeongezeka kwa 8% tu kwa wastani mwaka huu. Hiyo ni kidogo sana kuliko ukuaji wa mwaka uliopita, kulingana na ripoti ya Muhtasari wa Bajeti ya Usalama ya IANS 2024. Huku bajeti ikiwa imebanwa, uwezo wa CISO kupata ufadhili wa kutosha unategemea ushawishi na sifa zao ndani ya shirika. Kukuza uhusiano thabiti na viongozi wakuu wa biashara ni muhimu ili kufikia malengo yao ya bajeti. Kuanzia kwa wasanidi programu hadi CFO: Jinsi ya kujenga uaminifu Erica Antos, CISO katika TriNetX, anaweka malipo ya juu katika kujenga ushirikiano thabiti wa utendaji kazi ambao sio tu unakuza mipango ya usalama lakini pia kupatana na malengo ya jumla ya biashara. Anabainisha kazi za karibu za biashara kama washirika muhimu kwa ushirikiano na upatanishi. Kwa upande wake, hii inahusisha kuelewa vipaumbele vya CFO, kushirikiana na sheria ili kuhakikisha mahitaji ya ulinzi wa data yanatimizwa, na kufanya kazi kwa karibu na IT na uhandisi ili kuoanisha zana za usalama na mahitaji mapana ya shirika. “Unataka kuelewa malengo yao ni nini na kutambua baadhi ya zana ambazo usalama pia hutumia ambazo zinaweza kusaidia kufikia malengo yote mawili,” Antos anasema. Kwa mfano, suluhisho la sifuri pia litasaidia IT kusasisha ufikiaji wa mtandao na kuondoa hitaji la VPN. Mahitaji ya faragha yanaweza kuhusisha mshauri wa jumla na usalama kupitia ulinzi wa data. Kwa hili anashauri kuzungumza na kisheria kuhusu mahitaji yao ni nini na ikiwa kuna zana ambazo usalama unaweza kusaidia kufikia malengo yao. Katika hali nyingine, inaweza kuhusisha uhandisi na kufanya kazi na wasanidi programu na kushirikiana na CTO kuhusu mambo kama vile ukaguzi wa misimbo au arifa za usalama. “Unaweza kuchukua suluhu ambalo usalama unaweza kutumia kama mfumo wa usimamizi wa taarifa za matukio ya usalama ambao unaweza pia kuwa na upelekaji ambao husaidia timu za wahandisi,” anaiambia CSO. Kwa kawaida, kujenga uhusiano mzuri na fedha ni muhimu. Hii inahusisha kuelewa malengo yao na kuonyesha jinsi mipango ya usalama inaweza kusaidia kufikia malengo hayo au kutoa uokoaji wa gharama. “Inaweza kuwa hailingani na fedha kupeleka aina fulani ya zana au kupata bajeti ya kitu fulani lakini kuonyesha ufanisi au jinsi kupeleka zana fulani kunaweza kuokoa dola X,” Antos anasema. Athari za mstari wa kuripoti wa CISO kwenye bajeti na mahusiano Ukaribu wa CISO na washikadau fulani, kulingana na njia yao ya kuripoti, unaweza pia kuathiri uwezo wao wa kupatana na viongozi wakuu wa biashara. Iwapo CISO inaripoti kwa CFO, CIO, au moja kwa moja kwa Mkurugenzi Mtendaji inaweza kuathiri jinsi wanavyotanguliza na kuwasiliana na mahitaji ya usalama, na hatimaye, jinsi wanavyoweza kupata ufadhili wa ziada kwa haraka. “Inaweza kuongoza mwingiliano wa kila siku ambao hujenga uhusiano, kuwasaidia kuelewa mahitaji ya kikundi ambacho wao ni sehemu yake na kuweza kuoanisha kwa haraka zaidi,” Antos anasema. Antos anaamini kuwa inasaidia ikiwa italazimisha CISO kuelewa upande wa biashara wa jinsi shirika linavyofanya kazi. “Hiyo ni kufikiria juu ya ufanisi na kofia ya biashara badala ya kufikiria na kofia ya kiufundi,” anasema. Kwa upande mwingine, kutumia mtazamo wa biashara husaidia CISO kufikia malengo ya bajeti na kuridhika zaidi wakati shughuli za usalama za kila siku zinapatana na malengo ya kimkakati na vipaumbele vya uongozi ikijumuisha bodi. CISOs zinazoongoza programu za usalama zinazotazamwa katika muktadha wa hatari ya biashara zina uwezekano mkubwa wa kuridhika na bajeti yao wakati upatanishi huu unafanyika, kulingana na ripoti ya IANS. Walakini, katika mazoezi, CISOs zinaweza kujikuta zinakabiliwa na kitendawili muhimu, kulingana na Richard Watson, kiongozi wa ushauri wa usalama wa mtandao wa kimataifa na APAC huko EY. Kwa upande mmoja, bodi inaweza kuonyesha hamu ya chini ya hatari ya mtandao, lakini kwa upande mwingine, usimamizi unaweza kusema kuna haja ya kupunguza asilimia fulani kutoka kwa bajeti. “Hizi ni nafasi ambazo haziwezi kusuluhishwa, lakini naona CISOs kadhaa zikipambana na kitendawili hiki,” Watson anasema. Ingawa CFO ni mdau mkuu kutokana na jukumu lao la usimamizi wa bajeti, katika hali kama hizi, Watson anasema ni muhimu kwa CISO kuangazia malengo haya yanayokinzana na kuangalia washirika wa asili kusaidia kujenga uungwaji mkono kwa bajeti yao. Anapendekeza kwamba CISOs zinaweza kutumia muda na mwenyekiti wa kamati ya hatari ya ukaguzi na kueleza kitendawili hicho kwa sababu haionekani kila mara kwa bodi ikiwa wasimamizi hawatatangaza kuwa wanafanya kazi kwa njia ambayo inabana bajeti. “Ikibainishwa na mwenyekiti wa kamati ya hatari ya ukaguzi, inaweza kusaidia CISO kuhalalisha ongezeko zaidi la bajeti, au kwa nini kukaa tu bila kukata fedha ni sharti,” anaiambia CSO. Dumisha wasifu unaoonekana ndani ya CISO za shirika pana zinazoridhika na bajeti yao kwa kawaida huwa na mwonekano na uaminifu na uongozi, hushiriki katika mijadala ya kudhibiti hatari, na kuwasilisha vipimo vya programu kwa bodi, ripoti ya IANS ilibaini. Inapendekeza kwamba CISO lazima zidumishe wasifu unaoonekana na zishiriki katika shirika pana zaidi na zianzishe mazungumzo kuhusu hatari ya biashara zaidi ya udhibiti wa kiufundi. Watson anakubali kwamba ili kuabiri kwa mafanikio mahusiano yenye ushawishi, yanayohusiana na ufadhili, CISOs zinahitaji mwonekano zaidi ya utendaji wa mtandao na TEHAMA ndani ya shirika kubwa. “Huenda walianza kutoka mwanzo wa kiufundi, lakini ili kuvuka zaidi ya idara ya IT wanahitaji kuhesabiwa kama mshirika wa biashara na mshauri wa biashara,” anasema Watson. Kama Chris Peake, CISO katika Smartsheet, anavyodokeza, si tu kuhusu mwonekano wa CISO – ni kuhusu kusaidia shirika kuelewa upeo wa vitisho vya usalama wa mtandao linalokabili. Lengo ni kutoa muktadha wa kufanya maamuzi kuhusu vipaumbele na hivyo fedha na bajeti. “Ikiwa usalama utakuwa kuwezesha biashara, ni mwonekano sio tu wa CISO na mpango wa usalama; mazingira ya tishio yanahitaji kuwa wazi kwa kila mtu,” Peake anasema. Jukumu la CISO ni kuwasilisha taarifa hizi kwa mapana katika shirika, ikijumuisha na C-suite na bodi, na kuoanisha na malengo ya jumla ya biashara. “Wafanyabiashara wengine wanahitaji kuelewa kile wanachopinga na hii inawasaidia kuwa na muktadha wa kufanya maamuzi kuhusu kile kitakachopewa kipaumbele,” Peake anasema. Ingawa haikuwa kawaida kwa CISOs kuwa na ujuzi wa kifedha kwa ufasaha, hilo linabadilika kadiri mazungumzo zaidi yanavyozingatia masuala ya kifedha ya biashara. “Wengi wa wenzangu wanazungumza juu ya bajeti na jinsi tunavyofadhili na kufikiria juu ya kuleta teknolojia mpya katika shirika,” anasema. Teknolojia mpya kama vile AI generative, ambayo hufungua vekta mpya za vitisho, pia zinaanzisha mazungumzo ya bajeti kwa sababu zinahitaji uwekezaji ili kudhibiti na kulinda. “Huenda zikahitaji rasilimali na hilo linahitaji mitazamo mipya kuhusu jinsi tunavyotumia zana zetu zilizopo,” anasema. Hata hivyo, kutakuwa na hali ambazo zinazuia maamuzi ya bajeti ambapo CISOs wanakabiliwa na changamoto katika kupata miradi fulani kipaumbele. Kutokuwa na uhusiano na mshikadau mkuu, au hata kuwa na uhusiano wenye ugomvi kunaweza kuunda vizuizi ambavyo vinginevyo havingekuwapo, Antos anasema. “Inaweza kusababisha kutoelewana kuhusu kile ambacho timu ya usalama inajaribu kufanya au kusababisha mawazo yasiyo sahihi, tafsiri potofu au mawasiliano duni,” anasema. Haya yanaweza kuzuia ugawaji wa bajeti na kusababisha suluhu au mpango kuachana na orodha ya vipaumbele. Inasisitiza umuhimu wa uelewa wa pamoja wa umuhimu wa mradi. Hii inahitaji mahusiano ya kujenga na kuandaa vipaumbele. “Mara nyingi, kile ambacho usalama hufanya hutekelezwa na timu zingine, kama vile uhandisi, wasanidi programu au TEHAMA, na kwa hivyo chochote unachotaka kutekeleza, utahitaji kukipa kipaumbele kwenye foleni yao ya kazi,” alisema. anasema. Ujuzi wa masuala ya kifedha huimarisha uhusiano unaoathiri ufadhili Pamoja na mashirika yanayokabiliwa na matatizo ya kifedha, inaweka shinikizo zaidi kwa CISO kuhalalisha bajeti yao kwa washikadau ikiwa ni pamoja na CFO, Mkurugenzi Mtendaji, na bodi, kulingana na Watson. “Kwa kuongezea, mahitaji mapya ya ufichuzi wa SEC yanaelekeza mkazo mkubwa katika kuhesabu hatari ya mtandao kwa sababu ukweli umekuwa muhimu sana,” anasema. Ili kujibu changamoto hizi kwa uthabiti, CISOs zinahitaji kuhusisha hatari ya mtandao kwenye bajeti na ndiyo maana zana za kutathmini hatari za mtandao zinakuwa muhimu zaidi kwao ili kujenga kesi thabiti ya biashara. “Unathibitishaje ikiwa kitu ni nyenzo au la? Unahitaji kuwa na formula ya hisabati kufanya hivyo. Ni sanaa na sayansi hesabu ya hatari ya mtandao sasa inakusanya kasi kubwa katika mashirika, “anasema. Kwa mashirika madogo na yale ambayo hayashiriki makampuni ya ushauri, Antos anapendekeza watumie zana na nyenzo za ISACA au IANS ili kuunda uchambuzi wao wa hatari na michakato ya bajeti. “Zana hizi hutoa mwongozo na nyenzo za kusaidia timu za usalama kukuza ujuzi wa kifedha na michakato ya bajeti ndani,” anasema. Mfumo wa Muunganisho wa Muundo wa Ukomavu wa Uwezo wa ISACA (CMMI) husaidia kudhibiti gharama na mikakati ya bajeti inayozingatia hatari. Mashirika yanayotumia mfumo huu yalionyesha punguzo la 47% la tofauti ya gharama, kulingana na Ripoti ya Kiufundi ya CMMI ya 2023. Kwa Antos, digrii katika mifumo ya taarifa na uhasibu zimesaidia kuunganisha vipengele vya kiufundi na kifedha vya jukumu la CISO. Anasisitiza kuwa kuelewa lugha ya fedha na kuwasilisha thamani ya biashara ya uwekezaji wa usalama kunaweza kuimarisha nafasi ya CISO wakati wa kujadili bajeti. Kwa CISOs, ujuzi wa kifedha si wa hiari tena – ni muhimu kwa kushirikisha wadau na kujenga kesi ya biashara kwa uwekezaji wa usalama. Kuelewa mchakato wa kupanga bajeti na kuwasiliana na thamani ya biashara ya usalama huruhusu CISOs kuziba pengo kati ya mahitaji ya kiufundi na vipaumbele vya shirika, kuhakikisha wanapata rasilimali wanazohitaji. Katika kiwango cha vitendo, kuwa na mazungumzo kuhusu mahitaji ya usalama, hasa linapokuja suala la miradi mikubwa, inahitaji kuanza mapema na kueleza jinsi itaathiri biashara. “Kuwa na hayo yote kabla ni rahisi zaidi kuliko kujaribu kufanya hivyo wakati wa mchakato wa bajeti,” anasema.