CSO实践②|CSO如何体现信息安全的业务价值 CSO实践②|CSO如何体现信息安全的业务价值 接上期《CSO实践①|新任CSO关键的前 100天》，在笔者对 CSO老曾的访谈中 ，老曾还道出 了他在安全管理领域 15年的心酸历程，他说，安全部门通常是用来背锅的，主要是因为安 全部门很难体现自己的业务价值。 在业务部门看来，没有发生安全事件的时候，他们认为安全部门“ 什么都不用干 ”；出现安 全事件的时候 ，他们更是认为安全部门 “什么都没有干 ”。CSO该如何向高管层和业务部门 领导展现自己的业务价值呢？ 本期整理 CSO老曾分享的内容，重点聚焦困扰 CSO的难点问 题——如何更好体现信息安全的业务价值 。下面是老曾总结的有效阐释业务价值的 5个建议。 建议1：用业务语言阐释问题 大多数的 CSO往往是技术出身 。对他们来说 ，用技术思维思考和沟通是很自然的事情 。特 别是在巨大的工作压力之下， CSO在沟通中会回到他们的语言舒适区，从技术和战术的角 度交流安全和风险管理问题，倾向于谈论威胁和漏洞，而不是业务目标和业务风险。 为了更有效地沟通， CSO可以基于角色和背景，提前了解不同高层人员的沟通风格和内容 关注点。例如，CEO、CMO和COO比较关心结果 ；而CIO以及其他技术人员则比较关心 技术细节过程。 CSO可以根据不同听众的特点调整具体的沟通信息。 具体的方法包括： 在企业中寻找一位值得信赖的伙伴，通过这位伙伴来验证沟通内容和方式的有效性。 阅读业务期刊和相关的业务月报，了解当前最热门的话题以及具体内容。 评估沟通的表达方式和听众的理解程度， 这对于实现有效沟通极其重要 。通过与一些安 全行业人员和其他行业人员进行沟通练习，获得反馈并改进沟通技巧。 关注听众在沟通中的反应 。在沟通过程中观察听众是否表现出很无聊， 例如，如果听众 在沟通中瞥了一眼电脑或手机，这可能表明他们对沟通内容不感兴趣。 在沟通中使用业务语言 ，这会让高管和业务决策者感觉你在关注对他们来说重要的事情。 建议2：加强自身沟通能力的 学习训练 CSO很少接受过如何在 业务环境中进行有效沟通的 训练。有时，问题不在于说什么，而在 于如何说。如果表达方式不好，即使信息很明确，也很难达到理想的沟通效果。 CSO最好 不要给人留下内向 、不善于沟通的 “技术怪人 ”的刻板印象 ，而是要让高管和业务决策者认 为你很了解业务，能够从业务角度来阐释安全问题。CSO实践②|CSO如何体现信息安全的业务价值 具体的方法包括： 认识到与业务管理者沟通的必要性，并在沟通前做适当的准备。俗话说， “你没有第二 次机会给人留下第一印象 ”，不要指望通过即兴发挥获得好的沟通效果。 参加业务写作、演讲或相关技能的课程 。了解是否有企业培训计划或预算 ，并学习以 业 务为重点的技能。 考虑参加 MBA课程，对财务、金融和营销内容有更多的了解 ，并提高业务沟通语言的 流利程度。 充分利用企业现有的沟通工具 。如果有标准的文件或演示模板 ，最好直接使用这些文件 ， 而不是试图创建自己的模板。 建议3：沟通要简洁明了节省时间 高管人员最关心的是如何实现企业的业务目标 ，他们通常会忙于处理各种业务问题， 而且管 理者级别越高 ，工作越忙 ，日程安排的越满 。当CSO有机会和高管人员沟通时 ，要简单明 了地说明高管层关心的关键问题。 例如，直接表明安全项目有助于企业实现的业务成果 ，或 讨论如何通过安全管理减少风险来降低业务成本等等。 具体的方法包括： 以目标为导向建立信息传递内容。 例如，在会议一开始就明确说明会议目的 “本次会议 的目的是……”。 将沟通信息与确定的业务目标或项目联系起来，并尽快将其呈现在听众面前。 CSO要 确保能阐明组织的使命和愿景。 建立业务案例和报告，并将最关键的信息放在前面，确保关键点不会被埋没。 发言时要简洁流畅 。发言中阐述听众为什么要关心这个话题， 并明确表示可以在方便的 时候提供进一步的细节内容。 不要对听众所知道或理解的东西作出假设 。沟通前要准备好进一步阐述和解释的信息内 容，但不要一下子告诉听众全部内容。 建议4：深入了解 业务目标，理解不同听众 的关注点 CSO并不是唯一难以进行有效沟通的人。高管人员有时也很难用准确的语言表达他们的需 求。尽管如此， CSO有责任克服这个问题。例如，对于高管人员来说，合规只是一套需要 遵守的规则 ，如果遵守了这些规则 ，业务就是安全的 。然而，从CSO的角度来看 ，这个问 题要大得多，企业可能符合合规标准，但仍会存在潜在的业务风险。因此， CSO在和高管 人员沟通安全问题时，需要正确理解他们用业务语言作出的回应。CSO实践②|CSO如何体现信息安全的业务价值 具体的方法包括： 理解听众的关注点 。高管层和业务部门领导关心的问题与部门经理或团队主管不同， 业 务领导会从 IT同行那里听到不同的信息。 确保了解业务部门的目标。业务部门领导并不期望 CSO是业务专家，但如果 CSO不 了解业务目标是什么，就无法体现安全的业务价值。 CSO需要表明自己对业务目标的支持，并在与业务部门领导沟通中达成关于实际风险 的共识。在沟通中充分理解业务部门的安全需求并进行优先级排序。 建议5：了解业务的风险承受能力，并据此制定安全策略 高管层及业务部门领导对信息安全风险概念的理解比较模糊。他们往往知道这个安全风险， 但却很难 解释清楚他们所关心的事情 。如果高管人员不能清楚地阐明他们可接受的信息安全 风险程度 ，那么CSO就不可能将有效的安全控制措施落实到位 。量化信息安全风险是非常 困难的，而且风险的定义和接受程度在不同的行业、 企业、业务部门甚至个人之间有很大的 差异。由此产生的混乱可能会导致企业没能进行有效的安全控制。 反之亦然 ，过度的安全控 制会对企业必要的业务流程造成巨大的负面影响。 因此， CSO不仅要对企业的风险状况进行全面评估，还要对目前的安全风险成熟度状况进 行评估。成熟度评估过程尤为关键 ，因为从整体风险管理的角度来看， 比较成熟的企业在讨 论和处理具体领域的风险问题时也比较有效。 安全风险成熟度的提高既能改善企业风险治理 水平，也能实现安全风险的有效沟通，从而形成良性循环。 具体的方法包括： 利用现有的模型或方法来沟通 、评估和管理风险 。采用过往业务风险讨论中已经使用的 术语，这样 CSO在沟通中就会专注于信息而不是技术术语。 制定一个包括定义在内的风险词汇表 。围绕风险评估结果和风险的影响制定一份术语表， 并让企业所有人员都熟悉这些术语。 避免使用难以证实的定量风险评估。CSO 可以使用业务风险案例来证明风险的影响程 度。通过一个可能发生的案例来说明风险的影响会让沟通内容更吸引人 ，而且与现实联 系更为密切。 阐明业务价值 要遵守的 6个原则 老曾根据自己 多年的从业经验 ，认为CSO与企业高管和业务决策者 沟通时效率很低，低效 的沟通使安全部门很难满足业务的需求。 这就产生 了一个恶性循环 ，沟通不畅导致效率低下 ， 进而降低企业安全和风险管理计划的业务价值。 除了以上 5条切实可行的建议外 ，老曾还总结了 CSO高效沟通 业务价值 需要遵循的 6个原CSO实践②|CSO如何体现信息安全的业务价值 则。如下图所示，这 6个原则适用于任何有效的 业务沟通， CSO必须充分理解这些 原则， 将其作为与高管层和业务决策者进行安全和风险沟通的基础。 结构明确 ：有效的沟通应该包括三个关键要素 。引言，简短概括问题和解决方案 /建议； 论证，充实和填补细节信息；结论，重申概要信息和下一步行动计划。 信息明确 ：沟通信息要非常清楚 。杂乱无章的信息会让听众感到困惑， 以至于他们不知 道应该重点听哪些内容 ，或需要做什么 。因此，每条沟通信息都应该有一个明确的目标 。 话题统一 ：如果在沟通中混合了多个话题内容 ，会让听众产生不信任感 ，从而影响后续 行动。因此，在沟通时，必须明确一条主要内容并在整个沟通过程中保持不变。 沟通媒介 ：信息传递有很多种方式 ，成功的传播者会根据受众 、时间、文化和地点来选 择沟通媒介。 内容相关性 ：沟通的核心信息需要与听众关心的事情相关 。例如，不要对 CFO谈论技 术细节。 内容优先级 ：重要的内容放在开头 ，因为人们通常只会记住沟通中的第一件事和最后一 件事，所以沟通中要确保有一个好的开头和结尾。 写在最后 随着企业对网络安全的重视程度不断提高 ，高管层和业务部门领导在进行业务决策时也开始 考虑安全风险的问题，这就让 CSO在安全管理方面的价值有机会得以更好的体现。 CSO 为了充分体现安全的业务价值 ,并成为可信赖的业务安全顾问，必须更加高效准确地与高管 层及业务领导者沟通重要的业务风险影响和有效的解决方案。因此， CSO需要掌握体现安 全的业务价值 所需的技能 ，并遵循有效沟通 所需的6个原则，建立信息传递和沟通计划 ， 从而与企业人员更好地沟通和传播安全和业务之间的相互促进作用， 充分体现安全管理对业 务成果实现的巨大价值。