在本文中，阿方索巴雷魯介紹了數條可以幫助領導認識到信息安全重要性所在的秘笈——以及應當盡力避免的多種錯誤做法。

在不少公司中，信息安全都屬于非常難于被接受的概念，這一現實是毋庸置疑的。尤其是在經濟危機的時代，公司資金狀況開始變得非常緊張，安全方面的措施和預算就會屬于首先遭遇削減甚或完全取消的項目。這時間，最常見的一種借口就是安全項目缺乏明確的投資回報率（ＲＯＩ）。但在絕大部分情況下，對事實真相利用前景理論來解釋就是：如果在針對一個安全項目的支出（確定的“損失”）與一起潛在安全事件（可能會也可能不會發生的更大損失）帶來的風險之間進行選擇時，管理層往往會選擇針對不會發生問題的概率進行賭博。如果他們對于威脅和潛在影響沒有足夠認識的話，這種情況就會變得尤其明顯。

把握聽眾的內心

為了避免這樣的問題出現，技術人員就需要選擇對威脅、風險和防范措施等方面的情況進行明確說明。這時間，技術人員需要注意的就是不要使用過于專業的技術語言來對風險情況進行詳細說明，而應當將內容重點放在與業務整體的關聯上，讓聽眾了解到該做法將會對業務和聲譽帶來的實際影響。

此外，做到滿足安全法規的要求也是讓管理層理解信息安全方面需求的一種好辦法。當然，這里需要注意的就是不要本末倒置，將法規遵循情況作為安全的最終目標。大家一定不會忘記作為標準的泰坦尼克號的最終下場。并且，即便公司遵循了安全法規，依然很有可能遭遇到安全事故或者風險。畢竟，遵循安全法規僅僅屬于萬里長征的第一步。它只能強迫公司部署最基本的安全措施。因此，安全項目不應該僅僅針對于滿足法規方面的要求，而應當關注公司整體面臨的安全風險。

利用其它項目來捆綁安全措施

通常情況下，對于技術人員來說，選擇將安全措施與業務需求捆綁成為一個整體就屬于很好的解決方法。在新業務項目或者計劃開始的時間，安全功能就應當成為整體中的組成部分。這就如同一輛新汽車中應當包含安全帶、安全氣囊以及大量其它方面的安全措施和功能一樣，新項目中應當包含有安全組件的必要預算。此外，在對現有產品和服務進行調整的時間，也屬于添加安全功能的好時機。不過，所有這些方法都與信息技術在業務中的地位相關。畢竟，“影子技術”類型的項目可能會在私下沒有適當安全性要求的情況下實施。因此，技術整體策略中應當包含內容明確的安全政策，而不僅僅是簡單的說明。只有這樣，才能有效降低問題出現的概率。

制造恐慌可能會適得其反

當然，制造恐慌確實屬于可行的方法。作為一種基本情感，恐懼可以驅使人們脫離正常合理的普通方式去進行思考以及行動。因此，我們很難證明它不會產生出效果。但就個人而言，我不喜歡這種做法。公司過于恐懼的話就會導致太多的虛假警告出現，而這可能讓人們變得愈加偏執。最終的結果就會反過來，這將導致真正威脅到來的時間，人們會因為存在“狼來了”的錯誤心態而予以漠視。

準備好迎接意外之財

最后，技術人員還要做好迎接“意外之財”的周詳準備。當然，造成這種情況出現的原因可能會有很多種。失敗的審計、災難性的安全事故或者成功的防范都可能屬于其中涉及的情況。而這樣導致的結果就會是安全預算資金意外激增，針對的范圍可能會是整體也可能會是特定某個部分（舉例來說，數據泄露防護就是屬于可能的領域之一）。因此，技術人員在平時就應當做到從安全策略的整體來進行全盤考慮，找出自身的優勢以及缺陷所在；這樣在意外之財到來的時間，所有要做的工作就是進行充分有效的利用。