最近備受矚目的網(wǎng)絡(luò)攻擊應(yīng)該足以警示企業(yè)迅速采取行動，調(diào)研機構(gòu)德勤公司的一份報告表明，網(wǎng)絡(luò)安全預(yù)算占到企業(yè)整體IT預(yù)算的10%以上。如果沒有適當(dāng)?shù)馁Y源，首席信息安全官無法有效保護企業(yè)免受威脅——但當(dāng)企業(yè)受到攻擊時，首席信息安全官往往首先受到指責(zé)。

首席信息安全官為了獲得正確開展工作所需的資產(chǎn)，需要在網(wǎng)絡(luò)安全方面投入時間、注意力和資金。以下是首席信息安全官與企業(yè)高管和董事會成員討論網(wǎng)絡(luò)安全的一些有用的方法。

按自己的方式工作

作為企業(yè)中的一個新角色，首席信息安全官可能尚未被企業(yè)領(lǐng)導(dǎo)團隊理解，也可能沒有在企業(yè)管理層占有一席之地。一些首席信息安全官也可能由首席信息官和首席技術(shù)官等其他IT領(lǐng)導(dǎo)者管理，因此難以在其他高管和董事會成員之間建立信任。即使員工和其主管關(guān)系很好，一些信息可能會在通過指揮鏈時發(fā)生變化。

當(dāng)然還有其他的表達(dá)方式。其中一種方法是開始與其他領(lǐng)導(dǎo)成員建立良好的溝通。首席信息安全官可以嘗試與企業(yè)股東一對一會面，分享想法、進(jìn)行非正式對話或?qū)ふ颐擞选?/p>

很多企業(yè)通常鼓勵召開這種類型的會議。當(dāng)團隊成員想讓首席信息安全官提出想法時，他們需要愿意傾聽，無論他們的職位和頭銜如何。如果他們提出了一些很好的想法，通常會仔細(xì)考慮，如果員工提出令人信服的想法，可能會跟進(jìn)。建立這種信任可以讓首席信息安全官將這些想法提交給企業(yè)董事會，甚至讓員工闡述自己的想法。

收集和匯總信息

當(dāng)有機會與高管交談時，通常沒有太多時間討論細(xì)節(jié)。坦率地說，無論如何，這不是企業(yè)高管想要的結(jié)果。以與企業(yè)領(lǐng)導(dǎo)者產(chǎn)生共鳴的方式來進(jìn)行網(wǎng)絡(luò)安全對話非常重要。

信息傳遞從了解企業(yè)高管和董事會的優(yōu)先級開始。在通常情況下，他們對全局性的計劃感興趣，所以需要解釋網(wǎng)絡(luò)投資對這些計劃的成功至關(guān)重要的原因。例如，如果首席執(zhí)行官希望在下一年將總收入增加5%，需要向他們解釋如何通過安全投資來防止網(wǎng)絡(luò)攻擊造成不必要的重大損失。

一旦了解了執(zhí)行團隊和企業(yè)董事會的目標(biāo)，就可以尋找特定的成員，并確定潛在的盟友。企業(yè)的團隊最近是否存在工作場所安全漏洞?企業(yè)的領(lǐng)導(dǎo)者是否很難讓其團隊了解網(wǎng)絡(luò)釣魚計劃的構(gòu)成?這些興趣和經(jīng)驗可以幫助首席信息安全官解釋安全解決方案。

不要采用技術(shù)術(shù)語進(jìn)行解釋

首席信息安全官通常精通網(wǎng)絡(luò)安全技術(shù)，但需要記住的是，并非每個人都像他一樣了解這一主題，而且業(yè)務(wù)領(lǐng)導(dǎo)者可能不會很好地理解技術(shù)術(shù)語。以高度技術(shù)性術(shù)語為主導(dǎo)的對話，不太可能引起并保持企業(yè)管理層或董事會成員的注意。

首席信息安全官是以他們理解的方式向領(lǐng)導(dǎo)層解釋網(wǎng)絡(luò)安全需求的翻譯人員——通過現(xiàn)實生活中的例子和概述風(fēng)險的商業(yè)指標(biāo)。如果說他們可以理解的術(shù)語，企業(yè)主管會更愿意考慮這些建議。

作為首席信息安全官，不僅僅是跟蹤不斷變化的風(fēng)險和跟上技術(shù)進(jìn)步的步伐，還要成為保護企業(yè)的網(wǎng)絡(luò)安全的倡導(dǎo)者，說服企業(yè)高管投資網(wǎng)絡(luò)安全。有了清晰相關(guān)的信息，首席信息安全官可以成為強大網(wǎng)絡(luò)安全戰(zhàn)略的捍衛(wèi)者。