避坑指南:安全负责人如何有效向高管层汇报

11月来了,12月还会远吗?时值年终岁尾,又到了向高管层汇报、为来年做规划的时候了。每逢此时,该如何有效地向高管层汇报情况,这一直以来都是让企业安全负责人感到心力交瘁的一个难题。

随着网络攻击对组织机构造成的危害越来越严重,企业高管层、董事会越来越关注网络安全,越来越多地要求安全负责人就潜在威胁和风险状况进行汇报。但实际上,由于企业高管层和董事会成员更多地是关注业务发展,而对安全领域并不太了解,因此,他们并不确定自己希望得到什么样的答复。“我们的安全状况如何?”、“能不能保证我们不会成为下一个XXXX<某个知名安全事件的受害者>?”他们经常提问的这些问题貌似很简单,但回答起来并不容易,因为存在太多的不确定性因素,几乎没办法回答,即使可以回答,也很难让他们特别信服。

在安全负责人向高管层、董事会进行汇报时,都会面临同样的问题。他们该如何有效回答高管们的问题,如何引起高管们的共鸣?本文将介绍安全负责人向高管层汇报时,应该避免的一些雷区,以及可以采取的一些实用技巧。

一、安全人员向上汇报要避免的五个雷区

技术细节太多

大多数管理层成员对技术都不了解,而安全负责人在演示中却过分关注技术。当讨论内容技术性太强时,可能就让高管层失去兴趣。将相关技术内容以备用材料的形式放在附录中通常是较好的方式。这样一来,如果他们需要,也可以随时给他们介绍更多的技术细节。

类似的技术内容最好以附录形式呈现

抽象提炼不够

管理层的成员一般都是关注“大局”的人物。如果每页ppt上,包含太多细节和太多句子,会影响听众的注意力。例如,项目符号过多、字体太小、文本过多以及图形太少等。与执行决策者交谈时,需要尽量使用简单的形状和颜色。

从全局角度向高管层汇报概览内容

夸大风险影响

通常,安全负责人通常会在演示文稿中介绍一些关于担忧、不确定和怀疑的内容,但都太过于关注威胁和理论风险。相反,安全负责人需要专注于广泛、真实和合理的预期风险。公司高管层不喜欢夸大威胁,更加希望了解某些企业发生重大安全事件而被媒体报道背后的真实情况。

针对外部事件需要做出的一些响应

缺乏业务关联

这是一个重大、又很难解决问题。在汇报的时候,要尽可能将安全与业务影响紧密关联起来。否则,单纯地说明安全,很难让高管层找到合理的依据对安全给予支持。需要重点强调信息安全事件的实际业务影响。使用一系列参数(例如,财务、声誉以及法律和法规)来说明业务影响,并对每个参数给出衡量结果,这有助于公司的高管重点关注必须解决的特定要素。

此外,公司高管层不关心你的日常工作,他们更关注是与他们的职位和职责范围有关系的内容。例如,水管工应该只修复漏水的管道,但是当系统性故障严重影响到业务成果时,管理层就需要了解这些内容。面向高管层的安全报告应避免过多地介绍有关管道漏水的详细信息,并应体现出非常了解他们所关心的问题。

误导性数据

针对一些非常专业的数据,在向高管层汇报的时候一定要慎之又慎。例如,安全人向公司高管层展示原始漏洞扫描结果,结果显示400台服务器具有超过72,000个未修补的漏洞。这些内容技术性太强,而且容易引起误解,因为这个数字永远不会为零,但高管层可能会要求在一定的时间范围内将数据归零,例如六个月。所以,CIO需要报告更有用的数据,同时解释为什么IT人员无法按照高管层的最初要求行事。要尽量避免预测安全投资回报(ROSI),而要更多与业务价值回报进行挂钩。

二、与高管层有效交流的五大技巧

通常,高管层需要并希望了解有关网络安全的更多内容。但是,他们不了解网络安全,有时会觉得内容太苦涩无味、无聊,这种情况在短时间内是不会解决的。要教会他们了解安全和相关的技术难度很大。大多数高管层要求安全人员向他们介绍信息安全的发展状况,因为这是他们职责的一部分,而并不是因为他们想了解这些信息。因此,必须用他们能够理解的术语并且与业务相关的内容来讨论你的话题。

提前沟通关键信息

高管层成员并不喜欢惊喜。如果可能,在会议之前与特定成员分享一下关键消息。做到这一点的一种好方法是与高管层中的关键影响人物进行接触,征求他们对演示文稿的意见以及他们认为该介绍哪些内容。这将让您有机会确定您的演示文稿中应包含哪些关键驱动因素或主题,也会让高管层成员感到他们的建议对于您的战略很有价值,同时还会让关键成员对您的消息更加敏感。

要充分了解高管层的角色和职责,还要了解高管层的各个成员。通常,在进行高管层展示时,通常会有一位发起人,他会定期参加高管层会议。发起人可以告诉您高管层期待听到哪些内容,以及如何引起关键成员的关注和参与。在整个演示过程中,用一些案例来说明信息安全人员与公司发展计划的相关性,但这些示例应该是高管层所了解的。

解决IT和信息安全风险有助于实现预期的业务成果

重点介绍准备程度

安全负责人无法控制网络安全事件和黑客攻击的发生,但是可以控制组织为解决这些问题做好了哪些准备。例如,不要报告上一季度的事件数量,因为您无法控制下一季度可能发生的事件数量。但是,您确实可以控制要处理的事件,因此,这才是更适合与高管层进行讨论的内容。

安全策略实施策略

重点介绍流程成熟度

明智的高管层成员都想知道公司是否得到了妥善的安全防护。风险态势很难衡量,但可以用流程成熟度来代替。随着安全风险管理计划的发展成熟,可以更好地抵御突发事件并在事件发生时做出及时响应。

项目成熟度情况示例

强调安全与业务平衡

高管层认为安全是可以“解决”的问题。他们认为,有了适当的技术和合适的人员,他们就能防止发生他们在报纸上看到的其他公司发生的网络安全事故。借此机会教育高管层,不存在100%的绝对安全,而成功的秘诀就是在保护业务安全与业务运营之间取得平衡。

鉴于大多数信息安全支出并不会实现业务创收,很难获得和维持高管层对战略安全计划的支持。安全投资的预期收益必须从业务角度进行阐述,并且必须与组织机构的特定环境、策略和文化的驱动因素联系在一起。

基于平衡积分卡衡量安全与业务成果

指导和征求高管层意见

高管层成员不了解信息安全和IT风险;需要明确告诉他们,他们在安全中的角色以及如何发挥该角色的作用。例如,最初的基调是由他们确定的。他们的决定确定了高管们的重要优先事务,因此,他们越了解良好的安全实践和预期的业务成果之间的联系,就越能有效地激励高管将安全作为优先事项。

此外,与决策者共同讨论时,请给他们做出决策的机会。如果您在整个演示过程中都在自说自话,将失去与他们互动的机会。不要仅仅告诉他们安全对业务有何影响,而是要问他们如何看待安全对业务的影响。在演示结束时,要让他们对您的申请(例如,资金申请)以及一如既往的支持做出回应。

写在最后

在当今网络攻击日益猖獗,安全事故频发的情况下,企业安全负责人需要更加频繁地向高管层进行报告。本文介绍了企业安全负责人在向高管层进行汇报时应绕开的坑,也给出了与高管层进行有效交流的最佳实践。

转载自:青藤云安全

发表评论