无论甲方乙方,也不管你承认与否,这确实是个让人心生排斥但不能拒绝而且又难以回答的问题。
心生排斥难以回答,背后是有原因的,安全是一件精细活,但是安全效果却无法量化,看似我们手握各种评估模型和方法,从定性到定量,有赋值法有加权法,不管是GB/T 20984的风险评估、或者是GB/T 22239的等保测评、又或者是OCTAVE的舶来方法,虽然最终能算出个系统的风险值,但你我都知道,不管是100分还是59分,我们都无法告诉别人现在究竟有多安全?
我们的评估报告只能反映一堆数据,几张图表和一些趋势,此次发现了多少高危漏洞,较上月减少了多少,系统最终的风险级别是多少,当前的信息安全成熟度级别是多少,到最后评估报告依旧回答不了究竟有多安全,安不安全的问题。
![]()
回答有多安全这个问题,我们诚惶诚恐的背后还有一个原因是信息不对称,评估结果的好坏还取决于测试队伍能力水平高低,更取决于测试投入资源的多少。
同样是一次风险评估,其结果会受太多不确定因素影响,比如评估的覆盖度、深入程度、测试人员能力等。同样是打鸟,用弹弓和猎枪的效果就完全不一样。同样是捕鱼,山野渔夫凭一己之力撒两网和职业渔农捕捞作业的区别也是差之千里。一个是只会SQL注入和跨站的脚本小子,另一个是会挖洞会溢出能写exploit的全栈攻城狮,这结果自然而然是不一样的。
所以即便我们的系统从评估结果来看风险级别极低,或者满足了等级保护三四级的各项要求,但我们仍然无法底气十足地回答这个问题。
因为大多数情况下只有CXO级别的人如此发问,如单位一把手或集团信息安全主管领导等等,笔者也经常遇到一些甲方管理层提出的猝不及防让人狗带的问题。
我们的安全在行业里排第几位,离第一名还有多远,你看再投入多少钱就能冲到第一?
你们是不是可以保证下次再也不会发生这类事情了?
我给你一年200万,你要保证不被监管机构通报,能不能做到?
这其实算是个幸福的烦恼,随着企业信息安全事件数量的逐步上升,高管也慢慢开始关注到这块,据某机构预测到2020年,几乎100%的企业高管都会要求下属汇报信息安全和技术风险问题,而现在仅有40%的企业高管在关注信息安全问题。
高管大多数时候并不会对CISO的安全报告产生共鸣,毕竟隔行如隔山,高管不懂安全,他们基本无法理解技术度量和运营度量的一些数据图表,也不会明白SQL注入和0Day漏洞带来的潜在风险,这可能会导致CISO辛辛苦苦几个通宵熬出来的报告在高管眼里还是一堆僵硬并且无法理解的技术语言。
那我们该怎么办,当然你我都不会丧失理智去指责高管你问的不对,更不会去抵触这些问题,我们要做的是正确引导高管正确看待信息安全这件事,所以如何汇报这件事也就显得至关重要。
![]()
给高管汇报信息安全工作不是一堆评估报告,不是一堆整改工单,也不是详实的实施计划再加上通篇的文字,汇报者应该把复杂事情简单化,尽量简洁,并且将安全工作和业务目标串联起来,通过简单的讲故事方式来描述信息安全工作如何支撑业务运作,这样更容易让高管接受你的观点和逻辑。
当然你不是为了讲故事而讲故事,通过讲故事CISO可以实现三个目标:
第一是培训高管,难得有机会跟各位大佬聊安全,这个时候你得抓住机会向老板们灌输一些信息安全新思路和正确理念,比如企业业务上云带来的新契机和面临的安全挑战,如何来进行平衡,这个高管们会尊重你的意见。
第二是影响决策,企业是继续扩大数据中心规模,还是逐步向双模式IT架构转变,安全问题在过渡期如何得到妥善的解决,这个时候CISO得拿出令人信服的决策依据。
第三是改变行为,利用和高管交流的机会,陈列一些可能导致企业发生严重安全事件的不安全习惯,在交流中获取到高管层的大力支撑,从而改善目前的被动局面。
那么如何讲好故事?
首先得强调故事的完整性
讲故事跟写文章一样,得讲究凤头,猪肚和豹尾,开头能吸引人,汇报中篇有料,结尾有力,结构完善并循序渐进。讲故事不是向高管抱怨发牢骚讲资源太少,也不是飘在天上净喊些不着边际的空洞口号,有节制地陈述事实并提出合理可行的解决方案来获取高管的认同和支持才是正事。
激发兴趣比强调完整性更重要
数据虽然能够说服高管,但是无法打动他们用实际行动来支持安全工作。平平淡淡可能无法吸引高管的注意力,这个时候可能需要CISO能够将冰冷数字背后的热情释放出来,有些时候你可能得提提目标和愿景,用一些情绪化的东西来作为突破口,如果你能成功吸引到高管,他们自然就会提出一系列问题,这个时候再来晒数字就水到渠成了。
多找非技术同事演练
在正式汇报前多尝试给不同部门的非技术同事进行模拟汇报,听听大家的反馈,是否能够理解你的逻辑和思路,然后试着根据他们的反馈来进行调整,这一点同样重要,一定要避免鸡同鸭叫的尴尬发生。
与业务目标进行深度关联
如果CISO在汇报安全工作时不能将安全与业务挂钩,只是一味地强调技术影响,想必高管也感受不到其中的利害关系,想到以前的一个段子,有人问A罩杯和C罩杯的区别在哪里,二者其实就是尺寸不同而已,但是如何来生动形象描述出来,有人就给出一个答案,你在开车的时候将左手迎风伸出窗外,60码的手掌感受是A,而100码的感受则是C。
跟高管汇报时,首先你自己得明白企业的业务目标和主要业务线,如果你连最基本的业务愿景都描述不清楚,在高管眼里你就是一个泥瓦匠,而不是一位展现建筑风格和实现建筑功能的设计大师。
你首先得了解业务,你才会了解业务到底需要什么样的安全,而不是套用几个标准和最佳实践,三下五除二就把一套拳给耍完了。
先主后次,关注影响最大的风险
别指望一次摆出10个8个风险,然后让高管们都能记住并一一解决,这显然是件异想天开的事儿。在安全风险这件事情上,笔者建议只挑最重要的讲,风险数量最好别超过3个,如果可能就讲1个,这样大家都能记得住,也能够更好地争取资源,当你列出10个风险点的时候,基本上就注定是一次失败的汇报了。
适当提及威胁
在合适的时候多提提安全威胁,最好能够举出一些已经见报的同行业或竞争对手发生过的安全案例,这样能够引起共鸣。比如老黄听到好朋友老王家媳妇劈腿,跟经纪人跑路了,那老黄是不是也得多提防提防自己的经纪人,这其实是一个道理。
关联安全项目与业务风险
企业为什么要实施一系列的安全项目,因为它们能削减业务面临的风险,CISO要让高管明白风险和安全对他们来说是件很重要的事。企业为什么要采购文档加密系统,为什么要使用MFA来登录SAP系统,为什么要重新定义文档审批流程,其实都是为了降低业务风险。
![]()
记得提问和回答最重要问题
别以为很漂亮地把故事讲完并成功抓到高管们的吸引力,汇报这个事就完了。如果这个时候CISO汇报完毕直接闪人那就是前功尽弃了,记得你汇报的真实目的是什么?是要钱还是要权,或者其它。
为下一年度争取更多的安全预算?
为项目的推动获取高层的理解和支持?
在故事讲完后,你一定得让高管们提出这个问题。
你想从我们这里得到什么?
![]()
只有让高管们提出这个问题,你的汇报才能算达到目的,你的故事才没有白讲。当然再后来,高管也不会问出那种让人无法回答的问题了。
