最近备受瞩目的网络攻击应该足以警示企业迅速采取行动,调研机构德勤公司的一份报告表明,网络安全预算占到企业整体IT预算的10%以上。如果没有适当的资源,首席信息安全官无法有效保护企业免受威胁——但当企业受到攻击时,首席信息安全官往往首先受到指责。
首席信息安全官为了获得正确开展工作所需的资产,需要在网络安全方面投入时间、注意力和资金。以下是首席信息安全官与企业高管和董事会成员讨论网络安全的一些有用的方法。
按自己的方式工作
作为企业中的一个新角色,首席信息安全官可能尚未被企业领导团队理解,也可能没有在企业管理层占有一席之地。一些首席信息安全官也可能由首席信息官和首席技术官等其他IT领导者管理,因此难以在其他高管和董事会成员之间建立信任。即使员工和其主管关系很好,一些信息可能会在通过指挥链时发生变化。
当然还有其他的表达方式。其中一种方法是开始与其他领导成员建立良好的沟通。首席信息安全官可以尝试与企业股东一对一会面,分享想法、进行非正式对话或寻找盟友。
很多企业通常鼓励召开这种类型的会议。当团队成员想让首席信息安全官提出想法时,他们需要愿意倾听,无论他们的职位和头衔如何。如果他们提出了一些很好的想法,通常会仔细考虑,如果员工提出令人信服的想法,可能会跟进。建立这种信任可以让首席信息安全官将这些想法提交给企业董事会,甚至让员工阐述自己的想法。
收集和汇总信息
当有机会与高管交谈时,通常没有太多时间讨论细节。坦率地说,无论如何,这不是企业高管想要的结果。以与企业领导者产生共鸣的方式来进行网络安全对话非常重要。
信息传递从了解企业高管和董事会的优先级开始。在通常情况下,他们对全局性的计划感兴趣,所以需要解释网络投资对这些计划的成功至关重要的原因。例如,如果首席执行官希望在下一年将总收入增加5%,需要向他们解释如何通过安全投资来防止网络攻击造成不必要的重大损失。
一旦了解了执行团队和企业董事会的目标,就可以寻找特定的成员,并确定潜在的盟友。企业的团队最近是否存在工作场所安全漏洞?企业的领导者是否很难让其团队了解网络钓鱼计划的构成?这些兴趣和经验可以帮助首席信息安全官解释安全解决方案。
不要采用技术术语进行解释
首席信息安全官通常精通网络安全技术,但需要记住的是,并非每个人都像他一样了解这一主题,而且业务领导者可能不会很好地理解技术术语。以高度技术性术语为主导的对话,不太可能引起并保持企业管理层或董事会成员的注意。
首席信息安全官是以他们理解的方式向领导层解释网络安全需求的翻译人员——通过现实生活中的例子和概述风险的商业指标。如果说他们可以理解的术语,企业主管会更愿意考虑这些建议。
作为首席信息安全官,不仅仅是跟踪不断变化的风险和跟上技术进步的步伐,还要成为保护企业的网络安全的倡导者,说服企业高管投资网络安全。有了清晰相关的信息,首席信息安全官可以成为强大网络安全战略的捍卫者。