确保企业对网络安全项目的支持需要良好的平衡。如果其他高管认为公司已经安全,那么 CISO 可能很难获得项目预算。同时,为预防措施获取资金可能很难沟通。
在 10 月 12 日至 16 日于拉斯维加斯举行的 ISC2 安全大会上,Safe-U 创始人兼首席执行官 Jorge Litvin 分享了以与高管产生共鸣的方式构建安全讨论的策略。
为什么网络安全与董事会之间的沟通如此具有挑战性?
如果首席信息安全官和其他高管之间没有有效的沟通,整个企业可能会面临负面后果。
利特文说,获得网络安全工作支持的关键是用商业术语解释这些风险。如果不这样做,可能会导致资源分配不当、对 CISO 缺乏尊重,并因资源不足而导致团队士气下降。此外,预算分配不太可能满足网络安全团队的需求。
利特文说:“他们对我们真正能利用我们所拥有的东西做什么的期望是不真实的,而我们所拥有的就是他们给我们的。”
为了解决这个问题,网络安全专业人员应该用高管的语言说话。
“我们应该永远记住,我们的主要目标不是保护一切,”利特文说。 “我们必须保护哪些核心业务功能?将我们的要求集中于此。”
业务影响可能涉及运营、财务、合规性或声誉。例如,威胁行为者伪造企业账户或冒用公司名义实施欺诈可能会对公司声誉产生负面影响。
SEE:英国的生成式人工智能项目往往是,数据治理是一个主要障碍。
有效沟通的 5 个技巧
使用最高管理层的语言包括:
- 了解高管的观点。行政人员有多忙?他们关心什么?
- 了解威胁对核心业务运营的影响。根据网络安全挑战如何影响公司交付或制造其产品或服务的能力来界定网络安全挑战。
- 向高管展示网络安全项目将如何使公司受益。
- 在会议中使用强有力的开场白(“如果到最后我们……,这次会议就会成功”)和结束语(“如果有一件事要记住,请记住这一点……”)。
- 保持谈话要点简单明了。另外,准备一个简短的版本,以防高管提前结束会议。
“尝试传达你的项目如何成为业务推动者或增强者,”利特文说。
例如,网络安全团队可能希望实施 SaaS 解决方案来支持其员工。在这种情况下,网络安全领导者可以向最高管理层推销解决方案,作为支持企业计划在欧洲扩张的一种方式。毕竟,该解决方案将证明该公司正在进行数据保护培训——这是 GDPR 合规性的一个因素。
最高管理层可能希望了解网络安全决策者在提出项目或服务之前是否考虑了所有替代方案。向最高管理层展示不同的路径并揭示您支持的选项。具体来说,消息传递应清楚地表明所提供的选项是企业的最佳选择,而不是个人偏好。
也向其他董事会成员提出想法
获得认可还需要一些部门间的沟通。与最高管理层的有效沟通意味着具体谈论金钱。
不知道网络安全项目的预期投资回报率? “我们可以去[企业]的财务部门或咨询公司并说‘帮我计算一下来展示这个,’”利特文解释道。 “帮助我了解这是否合乎逻辑或可行,或者是否有更好的方法。”
使用绝对数字和相对数字来比较项目的财务影响,与当前状态和潜在收益进行比较。
网络安全领导者可以在与首席执行官会面之前向董事会其他成员介绍他们的项目。这样做将有助于传达项目如何影响不同的领域和团队。询问他们的意见,提出诸如“我们如何共同努力才能取得成功?”等问题。在这些会议之后,跟进他们以保持势头。
了解业务框架——例如商业模式画布- 也可以帮助网络安全专业人士确定在与高管的会议中要讨论的最重要的要点。
“问问自己他们可能会问你什么,”利特文说。
最后,鼓励高管参与企业已有的网络安全工作。他们可以通过参加网络安全意识月演习来以身作则。利特文说,确保管理人员允许员工观看网络安全培训视频,而不是简单地命令他们“回去工作”。最终,使网络安全团队与更大的业务目标保持一致只会使企业受益。这只是找到正确词语的问题。
免责声明:ISC2 支付了我 10 月 13 日至 16 日在拉斯维加斯举行的 ISC2 安全大会活动的机票、住宿和一些餐费。