如何有效传达网络安全风险？CISO的故事叙述艺术

关键要点

网络安全风险的有效沟通至关重要，CISO需具备超越技术的叙述能力。制定与商业目标相符的风险故事，使用观众的语言是成功的关键。量化风险以便于理解，同时避免过于专业的术语，以引起执委会和利益相关者的共鸣。运用相关数据和行业报告来支持故事，提高说服力和可信度。

掌握风险故事叙述的艺术对CISO来说至关重要，不仅能促进参与，还能在整个组织中推动有意义的行动。一个合适的故事应强调网络安全风险，其最终目标是吸引注意力并促成行动。

“被提及的事情会被优先考虑，所以我们希望谈论网络安全。”凯雷集团的CISO贝瑟尼德鲁德Bethany De Lude说。

小火箭官网入口

这不仅仅是技术控制的陈述，而是理解商业运作， 将安全计划与战略目标相映射，并发展一个复杂的故事，使用观众所用的风险词汇。谈论的不是漏洞评分或修补速度。

“谈论恐惧、不确定和怀疑的时代已经过去，这种低成熟度的对话需要变得更复杂，CISO必须掌握企业风险的概念，”德鲁德告诉《CSO》。“你必须能够为他人构框对话，使用他们的语言，从他们感兴趣的方面进行交流，并保持适当的细节，这些都是好故事的要素。”

CISO在讲述风险故事时需考虑的要素

德鲁德在风险交流中采用的一个技巧是，引用与听众相关的时事新闻。这样能够连接不同的点，同时展示安全程序的重要性和避免上头条的必要性。“我从他们关心的事情入手，对于董事会来说，这可能是品牌风险或合规风险，然后我谈论这些风险的影响，以及我们通过安全程序减少这些风险所采取的措施。”她说。

尽管如此，在采用合适语言时仍面临挑战。根据Visa网络安全和合规主管亚历山大休斯Alexander Hughes的说法，风险术语有限，可能限制讨论。为了解决这个问题，他建议将风险量化为损失或功能降级由于攻击造成的功能不足或价值下降， 这在网络安全故事中更容易理解。“如果你能将风险视为成本，就能使用更复杂的语言，例如收入损失。因此，如果某项服务受到攻击而无法运作，那么资产会降级或毁坏，收入也会损失。”他说。

休斯还认为，组织在评估风险发生可能性时玩的是一个猜谜游戏。他表示，人类对计算风险发生的几率并不擅长，而组织也很少分享攻击数据以帮助这些计算。“没有一个良好的政府数据存储关于攻击类型、频率、严重性和利用方式，这意味着我们只能进行猜测。”他说。

为了克服这些问题，遵循一致的风险管理流程有助于建立清晰的过去风险决策和结果记录，这一记录对于准确预测未来风险至关重要，从而有助于讲述更为信息丰富的风险故事。

UST的CISO乔伊拉希德Joey Rachid同样认为，需要更好地理解和传达风险，使组织能够理解。将其与商业目标相结合，并使用合适的语言进行沟通至关重要。“我们必须意识到，作为高管，我们的职责是支持业务，因此我们需要使用能引起业务领导者共鸣的术语进行沟通。”他说。

然而，他在早期职业生涯中了解到，使用例如NIST成熟度视图来表述风险对董事会和其他高管而言并没有太大意义。同样，进入过多技术细节也很容易让听众失去兴趣和对CISO的信任。

“他们不会去学习我们的行当，所以需要用商业能理解的方式量化风险。如果你失去了听众，就会失去他们对你能力的信任。”他对《CSO》表示。

拉希德发现，故事需要触及高管的关切，通常是与重大风险及其对业务和底线的影响相关。他转变了识别风险的方式包括对商业