问任何网络安全专家们所面临的最大挑战是什么，你会得到一个不同的答案——加强网络安全，管理内部威胁，防止网络间谍……

但在进一步的调查中，你也许会惊讶地发现网络安全专业人士所面临的最大挑战其实是筹集安全计划所需的资金。现在有大力的资源和技术都可以帮助企业应对日益增加的网络威胁，但是我们少有机会去学习和体验这些实践。然而，对于向公司申请相关的资金方面，却没有任何指导。

笔者在与美国国家公园服务、洛杉矶国际机场网络安全相关人员进行全面讨论之后，了解到，在任何情况下，良好的沟通是成功的关键因素，以此获得所需的资金，在几年内建立和维护一个可行的安全方案。

大多数的预算需要提交一个ROI(投资回报)分析，一个积极的ROI分析往往是资金审批的关键，然而，网络安全的预算要求更难以量化。安全的投资回报率通常是通过比较安全的投资和安全漏洞导致的损失来表达。

开始讨论预算，你要收紧成本，通过证据来描述业务风险和相关费用，但这并不容易被财务人员接受。他们主要考虑的是对公司财务的影响，因此吸引高层管理投资你的网络安全程序最好的方法是以ROI的方法来计算支出。

然而，仅仅提供一个明确的投资回报率并不总是成功的保证，还有一些额外考虑因素。

1.在提出网络安全计划之前，你最好与企业财务决策人员保持良好工作关系，并很好的维持住

如果你没做到，那么你已经慢了一步。最好的情况是，在你开口向他们要钱之前，你们的工作关系就很良好，否则你成功的几率将大大减少。

2.不要使用恐吓战术

这种方式最开始能成功，但最终，如果你所规划的安全策略是成功的，这可能适得其反，你的财务官只会看到他们提供资金但什么都没有发生。

3.获取有用的安全认证

这对你和你的团队都有益处，如信息系统安全认证专家(CISSP)和注册信息安全经理(CISM)，这给企业的财务部门带来信心，你能识别风险并能够计划和实施安全程序，保障企业网络安全。利用安全研讨会、会议、杂志等展示最新的安全资讯、威胁和保障措施等。

4.将抵御安全风险与业务联系起来

识别恶意软件，抵御黑客攻击，抵御DoS攻击，这些将令你的高层管理和财务决策者印象深刻，将这些与公司的业务联系起来将更有意义。例如，如果你的企业依托网络销售，网络安全与否将影响到网站的正常运行，高层管理可能不会优先考虑这一点，但这可能导致整个网站停运。

5.用每个人都能听懂的方式表述

不要从技术的角度对高层管理和财务人员表述，用大家都能听懂的方式。

6.制定一个计划，既满足安全的需要，又考虑了费用预算

在与财务团队的沟通交流中，记住，没有一个企业在项目上是不限制资金的。你可以关注一下其他项目在资金方面的情况，并在沟通中提出理解他们的顾虑，他们会更加愿意帮助你完成你的工作。

7.假如你得到了资金，根据项目规划来做事

让企业的财务团队相信你的最重要的事就是按照原定计划实施项目，不要擅自将资金他用，如果很有必要更改，需要与财务团队商量。

8.让安全程序及时反馈

让财务人员尽可能参与你的网络安全计划，而不是遇到紧急情况，需要拨款的时候。此外，持续提供网络安全计划进程信息给高层管理和财务人员。

9.利用外部资源来支持你的需求

如果你遇到了资金需求被质疑的情况，建议你引入第三方网络安全专家从第三者的角度来分析或者审核。如果这个方法不奏效，可以考虑让其他组织请来相同领域的伙伴来审计你的计划，一个“外部”的观点往往比内部的观点更加有效。

10.始终强调网络安全不是一个信息技术，而是企业风险管理

在这所有的要点中，这是最重要的一项。网络安全仅仅不是IT部门的事儿，也贯穿于人力资源中的人事政策，你要将这个加入到执行的政策中，高层管理也要要求员工严格遵守，在不断变化的企业环境中，企业随时可能增加一些新技术，进而对企业安全形势产生影响。

(责任编辑：)