一名優(yōu)秀的安全主管需要“見人說人話,見鬼說鬼話”
- 2017-04-26 11:11:21
摘要:想要溝通,就需要用聽眾聽得懂的語言說話。關(guān)于CISO角色,如何清晰地向上溝通(對高管和董事會),向下交流(公司安全部門人員),平級互通(其他主要利益相關(guān)者),是其長期職業(yè)生涯中的一個重要工作。
想要溝通,就需要用聽眾聽得懂的語言說話。
關(guān)于CISO角色,如何清晰地向上溝通(對高管和董事會),向下交流(公司安全部門人員),平級互通(其他主要利益相關(guān)者),是其長期職業(yè)生涯中的一個重要工作。
經(jīng)常旅游的人就知道,總會有那么一些場景需要用當(dāng)?shù)卣Z言交流。如果學(xué)過多國語言,那在很多國家都可以在較高層次上跟上對話。若絲毫不通當(dāng)?shù)卣Z言,即便對話題知之甚深,在交流中也只能干瞪眼。
作為安全主管,從上述旅游經(jīng)驗(yàn)中就可學(xué)到重要一課:要用交流對象的語言來說話。風(fēng)險、報告、度量,是信息安全領(lǐng)域3大主要話題,對不同受眾具有完全不同的意義。我們可以從不同受眾圍繞各個話題所用的語言,來闡述這一點(diǎn)。
一、風(fēng)險
1. 董事會和高管
對高管和董事會而言,風(fēng)險主要意味著業(yè)務(wù)中斷和資金損失。要用這種語言說話,你就得展示出自己所做工作是對緩解業(yè)務(wù)風(fēng)險的作用。即便拿你的預(yù)算和你緩解掉的風(fēng)險(用金錢衡量)做直接對比,也不用太驚訝。
2. 安全部門
已經(jīng)像出色安全主管那樣把風(fēng)險登記簿都填滿了嗎?準(zhǔn)備好將之映射成安全部門的操作性、技術(shù)性目標(biāo)和項(xiàng)目吧。信息安全人員都是高技術(shù)人才,可以做到很多令人驚嘆的事,但他們不懂風(fēng)險登記。
3. 客戶
你在保護(hù)客戶敏感、專利、機(jī)密數(shù)據(jù)上所做良多,但你能向客戶精確傳達(dá)出自己的工作量嗎?這些可都是客戶最關(guān)心的風(fēng)險所在。你所做的所有工作都應(yīng)映射進(jìn)該框架,以便讓客戶認(rèn)識到你的作用。
4. 公司/其他利益相關(guān)者
公司主要關(guān)注確保業(yè)務(wù)延續(xù)性和符合客戶期望值。當(dāng)然,安全事件完全可以對這兩方面都造成重大傷害。但若你不能用恰當(dāng)?shù)恼Z言正確溝通此風(fēng)險,你又怎能期待公司理解這一點(diǎn)?
二、報告
1. 董事會和高管
你是不是每次都向主管報上一堆已處理警報數(shù)量之類的數(shù)據(jù)?你猜怎么著?他們根本看不懂也不關(guān)心這個??梢栽囋噷⒛闼龅牧己霉ぷ鬓D(zhuǎn)換成上面提過的高管風(fēng)險關(guān)注點(diǎn)。
2. 安全部門
優(yōu)秀信息安全人員希望知道自己工作的價值有沒有被很好地傳達(dá)上去了。可與他們合作,幫助將技術(shù)性、操作性工作翻譯成戰(zhàn)略目標(biāo)。
3. 客戶
客戶不關(guān)心你撲滅多少火苗,也不好奇你處理了多少警報。對客戶有意義的報告,講述的應(yīng)是你在保衛(wèi)敏感、專利和機(jī)密信息上所做的努力。
4. 公司/其他利益相關(guān)者
公司需要理解你的工作是怎么幫助確保業(yè)務(wù)連續(xù)性和達(dá)到客戶期望值的。重點(diǎn)放在報告這些方面,顯然能向公司展現(xiàn)出你時刻謹(jǐn)記他們的利益重點(diǎn),你的工作有效支持了公司業(yè)務(wù)開展。
三、度量
1. 董事會和高管
董事會和高管自然希望清楚你的工作進(jìn)度。但請記住,所有東西都要落腳于不同風(fēng)險是怎么被緩解的,以及每個風(fēng)險可能造成的潛在經(jīng)濟(jì)損失。弄懂怎么用這種方式溝通,將會讓你的度量更加相關(guān)。
2. 安全部門
安全團(tuán)隊希望知道自己在支援公司戰(zhàn)略目標(biāo)上的價值。但團(tuán)隊成員可能難以看出自己的日常工作是怎么嵌入公司戰(zhàn)略目標(biāo)的。這個時候就需要CISO出馬,幫助他們明確地看出自己工作的價值。
3. 客戶
你可能已經(jīng)認(rèn)識到,客戶希望知道你一直在改進(jìn)技術(shù),努力更好地保護(hù)他們交托于你的數(shù)據(jù)。但你有沒有想過,該怎樣將這些工作翻譯成客戶能一眼看懂的各種度量值。
4. 公司/其他利益相關(guān)者
如上所述,公司希望看到你有助于公司邁向成功。安全項(xiàng)目的任何度量都需要按對公司有益的方式闡述。
于是,如你所見,優(yōu)秀安全主管一直都需要“見人說人話見鬼說鬼話”,用受眾能理解的語言闡述自己的工作。即便受眾知道你試圖傳達(dá)的材料,若你不用他們能理解的語言闡述,這些內(nèi)容也是不會被他們消化吸收的。只有要傳達(dá)的信息產(chǎn)生了共鳴,你作為安全主管的工作才會被認(rèn)可。
