见人说人话：安全团队如何向不同高层争取安全支持

写在文前，个人的不靠谱思考仅供参考，笔者对参考本文实践中可能造成的一起好的坏的结果概不负责，请安全同行谅解。

在企业网络安全建设中，安全团队要取得高层领导的支持，自上而下的安全开展永远是幸福而快乐的。那么，安全团队在争取安全利益时，必须要了解不同高层角色的深切关注是什么，下面是笔者不靠谱经验的粗浅思考，如下：

• 面对CEO角色，安全团队要说服BOSS投资安全事业（工作），必须明确阐述安全团队工作的价值，即安全对业务的ROI，这是CEO最关心的、最要清楚明确的。在此方面可以参考的内容包括：国际国内同行业的做法、组织自身近年的安全投入、可参考的商业案例、从投资角度预测安全造成损失的可能性、量化安全可能对业务的影响及损失等。

• 面对CFO角色，安全团队要把握好的是信息化与安全的适配度。因为不同组织对于信息化的需求和依赖程度不同，有些将IT视为管理工具，有些视为生产工具。依赖程度不同必然导致CFO对安全的理解和支持不同。IT系统作为管理工具时，与企业生产没有直接关系，安全团队应适度降低安全活动需求；IT系统作为生产工具时，与企业生产和业务有密切的关系，安全团队应尽可能提高安全活动需求。

• 面对CTO角色，安全团队要让CTO了解和清晰选择不同安全架构的安全举措和从ideas to realization的不同价值。在可用性、可行性（ideas to products暂不探讨）方面，安全架构的选择对现有体系的影响、对建设进行中系统TTM的影响和安全需求自身TTM的差异和影响。特别是在可行性方面，CTO更关心新技术应用的安全方面和安全技术实现的风险，而业务安全风险更多是COO考虑的事情。

• 面对CIO角色，安全团队应该让CIO了解和清晰安全工作的整理设计和规划。要让CIO清晰看到当前安全团队所有的安全优先级都能够映射到当前业务的重点。这是安全团队对业务支持的最好体现，也是安全倡议为业务保驾护航的使命之一。

• 面对COO角色，安全团队要保证COO足够了解安全风险的客观存在和相对可控，要有一个确定其解决已知安全风险问题的长期和中短期战略，以及检测和减轻可能的新风险的具体做法和路线图，这样才能让COO更好的平衡风险。在此方面可以参考的内容包括：第一方面是减轻实际风险：安全事件检测和监视（特别是数据泄露）、漏洞管理、安全应急响应措施和影响控制等；第二方面是避免违约风险：法律遵从、经济损失、声誉受损、贸易保护的借口、政治危机的导火索等。

坚信少却更好，坚定元认知传播，坚持安全美学，拿个主题，讲300秒就够了。

原文始发于微信公众号（表图）：见人说人话：安全团队如何向不同高层争取安全支持