想要交流,就需要用听众听得懂的语言说话。关于CISO的角色,如何清晰地向上(对高管和董事会)、向下(企业安全部门人员)、对等沟通(其他主要利益相关者)进行沟通,是他长期职业生涯中的重要任务。经常出差的人都知道,总会有一些场景需要用当地语言交流。如果您学习了多种语言,则可以在许多国家/地区进行高水平的对话。如果你根本不懂当地语言,即使你对话题了如指掌,在交流中也只能发呆。作为一名安全主管,从上述旅行经历中可以学到一个重要的教训:用与你交流的人的语言说话。风险、报告和度量是信息安全领域的三大主题,对于不同的受众有着完全不同的含义。我们可以用不同受众围绕不同主题使用的语言来说明这一点。1、风险1、董事会和高管对于高管和董事会而言,风险主要是业务中断和资金损失。要使用这种语言,您必须证明您所做的是在降低业务风险。即使您的预算直接与您减轻的风险(以货币形式)进行比较,也不要太惊讶。2.安全部门是否像一名优秀的安全主管一样填写了风险登记册?准备好将其映射到安全组织的运营和技术目标和项目中。信息安全人员技能高超,可以做出令人惊奇的事情,但他们不了解风险登记册。3.客户您为保护客户的敏感、专有和机密数据做了很多工作,但您能否准确地将您的工作量传达给客户?这些都是客户最关心的风险。你所做的所有工作都应该映射到这个框架中,以便客户看到你的角色。4.公司/其他利益相关者公司主要关注确保业务连续性和满足客户期望。当然,安全事件会对两者造成重大伤害。但如果你不能用正确的语言正确地传达这种风险,你怎么能指望公司理解它呢?2.报告1.董事会和高管每次处理大量警报或其他数据时,您是否向您的主管报告?你猜怎么了?他们不理解也不关心。尝试将您所做的出色工作转化为上述执行风险问题。2、安全部门优秀的信息安全人员想知道自己的工作价值是否得到了很好的传达。与他们合作,帮助将技术和运营工作转化为战略目标。3.客户客户不关心你扑灭了多少火,或者你处理了多少警报。对客户有意义的报告应描述您为保护敏感、专有和机密信息所做的努力。4.公司/其他利益相关者公司需要了解您的工作如何帮助确保业务连续性和满足客户期望。专注于报告这些方面可以清楚地向公司表明您将他们的利益放在心上,并且您的工作有效地支持了业务。3.指标1.董事会和高管董事会和高管自然想知道你做得怎么样。但请记住,一切都取决于如何减轻不同的风险,以及每种风险可能造成的潜在财务损失。了解如何以这种方式进行交流将使您的指标更具相关性。2.安全安全团队想知道他们在支持公司战略目标方面的价值。但团队成员可能很难了解他们的日常工作如何符合公司的战略目标。这个时候就需要CISO帮助他们清楚地看到自己工作的价值。3.客户您可能已经知道,客户希望知道您一直在改进技术并努力更好地保护他们委托给您的数据。但是你有没有想过如何将这些任务转化为客户一眼就能理解的各种指标。4.公司/其他利益相关者如上所述,公司希望看到您为公司的成功做出贡献。安全计划的任何度量都需要以对公司有利的方式呈现。因此,正如您所见,一位优秀的安全主管总是需要“与人交谈并与人交谈”,以听众可以理解的方式解释他们的工作。即使您的听众知道您要传达的材料,如果您不以他们可以理解的语言呈现,他们也不会吸收这些材料。只有当您的信息引起共鸣时,您作为安全主管的工作才会得到认可。
