如果你想交流,你需要用听众能理解的语言说话。
关于CISO角色,如何清晰地向上沟通(高管和董事会),向下沟通(公司安全部门人员),水平沟通(其他主要利益相关者),是其长期职业生涯的重要工作。
经常旅行的人都知道,总会有一些场景需要用当地语言交流。如果你学过很多语言,你可以在很多国家跟上更高层次的对话。如果你根本不懂当地语言,即使你对话题知之甚少,你也只能盯着交流。
作为一名安全主管,你可以从上述旅游经验中学到一个重要的教训:用交流对象的语言说话。风险、报告和测量是信息安全领域的三个主要主题,对不同的观众具有完全不同的意义。我们可以从不同的观众周围使用的语言中解释这一点。
一、风险
1. 董事会和高管
对于高管和董事会来说,风险主要意味着业务中断和资本损失。如果你想用这种语言说话,你必须表明你所做的是缓解业务风险。即使你直接比较你的预算和你缓解的风险(用金钱来衡量),也不要太惊讶。
2. 安全部门
像优秀的安全主管一样填写风险登记簿吗?准备好将其映射到安全部门的操作、技术目标和项目中。信息安全人员是高科技人才,可以做很多惊人的事情,但他们不了解风险登记。
3. 客户
你做了很多保护客户敏感性、专利和秘密数据,但你能准确地向客户传达你的工作量吗?这些都是客户最关心的风险。你所做的一切都应该反映在这个框架中,以便客户能够意识到你的角色。
4. 公司/其他利益相关者
公司主要关注确保业务的连续性和客户的期望。当然,安全事件会对这两个方面造成重大伤害。但如果你不能用适当的语言正确地沟通这个风险,你怎么能期待公司理解呢?
二、报告
1. 董事会和高管
你每次都向主管报告一堆处理过警报数量的数据吗?你猜怎么着?他们根本不明白也不在乎。你可以试着把你做的好工作转化为上面提到的高管风险关注点。
2. 安全部门
优秀的信息安全人员希望知道他们工作的价值是否得到了很好的传达。与他们合作,帮助将技术和可操作性工作转化为战略目标。
3. 客户
客户不在乎你扑灭了多少火焰,也不在乎你处理了多少警报。对客户有意义的报告应该讲述你在保护敏感性、专利和秘密信息方面的努力。
4. 公司/其他利益相关者
公司需要了解您的工作如何帮助确保业务的连续性,并满足客户的期望。关注这些方面的报告,显然可以向公司展示你总是记住他们的兴趣,你的工作有效地支持公司的业务发展。
三、度量
1. 董事会和高管
董事会和高管自然想知道你的工作进展。但请记住,一切都取决于如何缓解不同的风险,以及每个风险可能造成的潜在经济损失。理解如何以这种方式沟通将使你的测量更相关。
2. 安全部门
安全团队希望知道他们在支持公司战略目标方面的价值。但团队成员可能很难看到他们的日常工作是如何嵌入到公司的战略目标中的。这是必要的CISO帮助他们清楚地看到工作的价值。
3. 客户
你可能已经意识到,客户希望知道你一直在改进技术,并努力更好地保护他们委托给你的数据。但你有没有想过如何将这些工作翻译成客户一眼就能理解的测量值?
4. 公司/其他利益相关者
如上所述,公司希望看到你能帮助公司取得成功。安全项目的任何测量都需要以对公司有益的方式解释。
因此,正如你所看到的,优秀的安全主管总是需要的“见人说话见鬼说话”,用观众能理解的语言来解释你的工作。即使观众知道你试图传达的材料,如果你不使用他们能理解的语言,这些内容也不会被他们消化和吸收。只有当信息产生共鸣时,你作为安全主管的工作才会得到认可。
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。