想要溝通，就需要用聽眾聽得懂的語言說話。

[[186699]]

關(guān)于CISO角色，如何清晰地向上溝通(對高管和董事會)，向下交流(公司安全部門人員)，平級互通(其他主要利益相關(guān)者)，是其長期職業(yè)生涯中的一個重要工作。

經(jīng)常旅游的人就知道，總會有那么一些場景需要用當?shù)卣Z言交流。如果學過多國語言，那在很多國家都可以在較高層次上跟上對話。若絲毫不通當?shù)卣Z言，即便對話題知之甚深，在交流中也只能干瞪眼。

作為安全主管，從上述旅游經(jīng)驗中就可學到重要一課：要用交流對象的語言來說話。風險、報告、度量，是信息安全領(lǐng)域3大主要話題，對不同受眾具有完全不同的意義。我們可以從不同受眾圍繞各個話題所用的語言，來闡述這一點。

一、風險

1. 董事會和高管

對高管和董事會而言，風險主要意味著業(yè)務(wù)中斷和資金損失。要用這種語言說話，你就得展示出自己所做工作是對緩解業(yè)務(wù)風險的作用。即便拿你的預(yù)算和你緩解掉的風險(用金錢衡量)做直接對比，也不用太驚訝。

2. 安全部門

已經(jīng)像出色安全主管那樣把風險登記簿都填滿了嗎?準備好將之映射成安全部門的操作性、技術(shù)性目標和項目吧。信息安全人員都是高技術(shù)人才，可以做到很多令人驚嘆的事，但他們不懂風險登記。

3. 客戶

你在保護客戶敏感、專利、機密數(shù)據(jù)上所做良多，但你能向客戶精確傳達出自己的工作量嗎?這些可都是客戶最關(guān)心的風險所在。你所做的所有工作都應(yīng)映射進該框架，以便讓客戶認識到你的作用。

4. 公司/其他利益相關(guān)者

公司主要關(guān)注確保業(yè)務(wù)延續(xù)性和符合客戶期望值。當然，安全事件完全可以對這兩方面都造成重大傷害。但若你不能用恰當?shù)恼Z言正確溝通此風險，你又怎能期待公司理解這一點?

二、報告

1. 董事會和高管

你是不是每次都向主管報上一堆已處理警報數(shù)量之類的數(shù)據(jù)?你猜怎么著?他們根本看不懂也不關(guān)心這個?？梢栽囋噷⒛闼龅牧己霉ぷ鬓D(zhuǎn)換成上面提過的高管風險關(guān)注點。

2. 安全部門

優(yōu)秀信息安全人員希望知道自己工作的價值有沒有被很好地傳達上去了?？膳c他們合作，幫助將技術(shù)性、操作性工作翻譯成戰(zhàn)略目標。

3. 客戶

客戶不關(guān)心你撲滅多少火苗，也不好奇你處理了多少警報。對客戶有意義的報告，講述的應(yīng)是你在保衛(wèi)敏感、專利和機密信息上所做的努力。

4. 公司/其他利益相關(guān)者

公司需要理解你的工作是怎么幫助確保業(yè)務(wù)連續(xù)性和達到客戶期望值的。重點放在報告這些方面，顯然能向公司展現(xiàn)出你時刻謹記他們的利益重點，你的工作有效支持了公司業(yè)務(wù)開展。

三、度量

1. 董事會和高管

董事會和高管自然希望清楚你的工作進度。但請記住，所有東西都要落腳于不同風險是怎么被緩解的，以及每個風險可能造成的潛在經(jīng)濟損失。弄懂怎么用這種方式溝通，將會讓你的度量更加相關(guān)。

2. 安全部門

安全團隊希望知道自己在支援公司戰(zhàn)略目標上的價值。但團隊成員可能難以看出自己的日常工作是怎么嵌入公司戰(zhàn)略目標的。這個時候就需要CISO出馬，幫助他們明確地看出自己工作的價值。

3. 客戶

你可能已經(jīng)認識到，客戶希望知道你一直在改進技術(shù)，努力更好地保護他們交托于你的數(shù)據(jù)。但你有沒有想過，該怎樣將這些工作翻譯成客戶能一眼看懂的各種度量值。

4. 公司/其他利益相關(guān)者

如上所述，公司希望看到你有助于公司邁向成功。安全項目的任何度量都需要按對公司有益的方式闡述。

于是，如你所見，優(yōu)秀安全主管一直都需要“見人說人話見鬼說鬼話”，用受眾能理解的語言闡述自己的工作。即便受眾知道你試圖傳達的材料，若你不用他們能理解的語言闡述，這些內(nèi)容也是不會被他們消化吸收的。只有要傳達的信息產(chǎn)生了共鳴，你作為安全主管的工作才會被認可。