【企业安全架构】信息安全:7个涉及您业务的沟通技巧
本月早些时候,我在一系列基于世界咖啡馆讨论的系列文章中撰写了第一篇博客文章,该讨论围绕着许多组织中政策和措施之间缺乏关系。讨论以4轮辩论的形式进行。在之前的博文中,我将信息安全作为生活的必需品。毫无疑问,对于大多数组织而言,信息安全是一个非常重要的主题,但在辩论期间,许多参与者不确定是否以及如何与公司其他人沟通。在这篇博文中,我将介绍本次讨论的结论。
沟通问题和解决方案
讨论建筑风险和安全的沟通时,我的第一个问题是:你需要沟通吗?如果答案是肯定的:对谁?什么?这引起了参与者之间的争论。总的结论是,沟通实际上是不可或缺的,决策者是我们的目标受众,因为企业需要充分了解如何做出正确的决策权利。回答第二个问题:我们沟通什么?因为商业决策者之间的差异是巨大的,所以要困难得多。个人兴趣,背景,教育水平和专业领域往往各不相同。尽管如此,我们还是能够提出一系列良好做法。
7个最佳实践:沟通企业风险和信息安全
- 风险不是受到伤害。影响!
- 使用隐喻
- 显示具体的例子
- 测试安全性
- 利益相关者的具体沟通
- 不要使用行话,如果你真的需要,请使用商业行话
- 让它变得个性化
对于每个最佳实践,我们将尝试解释您可以做什么,以及它如何有助于理解信息安全风险和措施。
1.风险不是受到伤害。影响呢!
通常,风险经理和安全架构师试图以两种不同的方式获得管理者的关注。一种流行的方法是针对恐惧和痛苦。他们传达风险对业务的潜在影响。或者,一些与会者建议介绍在安全方面取得成功的潜在好处,例如:更多来自客户的信任。大多数与会者最为成功的销售恐惧,而不是出售安全的收益。
2.使用隐喻
隐喻在向业务管理团队传达更复杂的概念方面非常有效。例如,您可以通过将信息安全性与保险进行比较来简化讨论。每个人都有某种形式的保险。许多人拥有比他们真正需要的更多的保险。大多数人希望他们永远不会需要它,但无论如何他们都有它们,以防万一。其他与会者提到了交通的比喻。也许有些经理喜欢高速驾驶。他们可能知道事情可能会出错,他们最终会受到某种形式的惩罚,但他们往往愿意接受这种风险。一些管理人员可能永远不会超过限制超过50公里,因为他们知道他们可能会失去他们的执照。其他人可能会使用应用程序来确定警察的检查点。当您使用隐喻时,风险比大多数抽象的网络安全术语更容易理解。这有助于倡导风险管理的重要性。
3.展示具体的例子
Raymond Slot表示,只有6%的黑客被公之于众。然而,他们确实有助于了解可能是违规行为造成的损失。使用这些!最好来自您自己的行业和/或国家,以使其尽可能接近您的业务。
4.测试安全性
在另一个消防演习之后,我们每隔一个月就站在大楼前。不方便和讨厌,但我们都明白它有某种目的。例如,通过渗透测试完成计算机问题的实际测试。但是,业务本身和管理团队几乎不受这些测试的影响。我们讨论中的一些与会者在实际测试安全泄漏,攻击和停机测试方面拥有良好的经验。这不仅为您提供相关信息,还有助于为您的利益相关者提供正确的紧迫感。
5.利益相关者特定的沟通
“生意”不是一个人。这是一个庞大的受众,从现场员工,团队领导,非技术,半技术和技术观众到董事会成员,甚至可能是采购合作伙伴。这些群体有不同的信息需求,需要不同的沟通方式。观众中的一些人创建了沟通策略,通过正确的渠道向正确的内部受众定期提供正确的安全信息。
有些人在与管理层进行“miffy式”沟通方面有很好的经验,其他人建议不要通过向孩子提供信息来冒犯管理人员。
6.不要使用行话,如果你真的需要,请使用商业行话
架构师理解概念模型,逻辑模型和物理模型之间的区别,并考虑需要应用的方法。但经理不在乎......一点都没有!他们流利的唯一行话是你的事业的行话。金钱,速度和风险是会议室使用的行话。我们研讨会的一些与会者建立了他们的案例,以实施有关金融风险可能造成的损失的措施。这似乎真的有助于他们让董事会成员参与信息安全主题。
7.使其个性化
在信息安全意识会议之后应该在业务经理心中根深蒂固的关键信息应该是:“这是一个严重的问题”。或者更具体地说:“这影响了我/我的位置/我的员工/我的客户/我的职业生涯”。仅在大型会议上讨论这些主题并不能真正帮助您获得反馈并了解您的消息是否已落实。不要在您希望拥有信息安全列车的经理谈话,而是与他们交谈!
您在企业风险与安全方面面临的主要挑战是什么?请在评论中分享您的想法,经验和想法,或使用此页面上的社交按钮。
当然,请继续关注本系列的下一篇博文,其中将讨论:构建信息安全意识真正起作用的是什么?
原文:https://bizzdesign.com/blog/information-security-7-communication-tips-to-involve-your-business/
本文:
讨论:请加入知识星球【首席架构师圈】
- 39 次浏览