网络安全从业者们要学会“讲故事”

最新推荐文章于 2025-11-25 14:49:32 发布

原创最新推荐文章于 2025-11-25 14:49:32 发布 · 1k 阅读

27 ·

CC 4.0 BY-SA版权

文章标签：

#web安全 #安全

前言

对于CISO而言，掌握将风险故事化的能力不仅能提升众人的参与度，更能推动整个组织采取切实、有效的行动。从最佳实践来看，一个出色的故事，其核心在于凸显网络安全风险，其目的在于吸引关注并激发他人的行动观念。

凯雷集团的CISO Bethany De Lude强调：“人们热议的话题往往会被视为优先事项，因此我们需聚焦于网络安全。”

这并非仅仅局限于技术控制的泛泛而谈，而是要求CISO们深入理解业务运作机制，将安全计划与企业战略目标紧密结合，并精心编织出一个复杂而引人入胜的故事。在这个故事中，他们需运用听众能理解的风险语言，而非单纯讨论漏洞评分或补丁更新速度。

De Lude对此强调：“谈论恐惧、不确定性和猜测（FUD）的时代已经过去，那是一种不够成熟的对话方式。我们需要更加深入，CISO们必须掌握企业风险管理的精髓。要能够用听众的语言构建对话框架，谈论他们感兴趣的内容，并提供恰到好处的细节，这些都是构成精彩故事的重要元素。”

下面这份完整版的网络安全学习资料已经上传网盘，朋友们如果需要可以点击下方链接即可自动领取↓↓↓

点击领取《网络安全&黑客&入门进阶学习资源包》

在这里插入图片描述

构建精准风险叙事

De Lude擅长在风险讨论中融入与听众息息相关的时事新闻，这种方法有助于将各信息点串联起来，并凸显安全计划的重要性，同时也能避免企业成为舆论焦点。她提到：“我会根据他们关心的议题来构建对话框架。比如，如果他们在董事会，那么议题就可能是品牌风险或监管风险，我会讨论这些风险可能带来的后果，以及我们如何通过安全计划来降低这些风险。”

尽管如此，选择合适的语言仍是一大挑战。威士卡公司的网络安全与合规总监Alexander Hughes指出，风险术语的局限性可能会限制讨论的深度。为了克服这一难题，他建议从损失或资产降级（即因攻击导致的功能受损或价值降低）的角度来量化风险，这样的表述在网络安全叙事中更易于理解。他解释说：“如果将风险视为成本，我们就可以使用更细腻的语言来描述，比如收入损失。例如，当某项服务受到攻击而无法运行时，资产就会降级或受损，从而导致收入损失。”

此外，Hughes还认为，组织在评估风险发生的可能性时就像在猜谜。他指出，人类不擅长计算风险发生的概率，而且组织在分享有助于评估风险的攻击数据方面也并不开放。“政府缺乏关于攻击类型、频率、严重程度和利用模式的全面数据，这意味着我们很大程度上都是在猜测。”

因此，遵循一套连贯的风险管理流程，对于建立清晰的风险决策和结果记录至关重要，这一记录是准确预测未来风险的基础，此基础有助于构建一种更加有所根据的风险叙事。

美国联合服务贸易公司的CISO Joey Rachid同样认为，需要以组织能够理解的方式去解读或呈现风险。他强调，将风险与业务目标相结合，并使用恰当的语言进行沟通是至关重要的。“我们必须认识到，作为高管，我们的职责是支持业务发展，因此我们需要使用能够引起业务负责人共鸣的语言来进行沟通。”

然而，他在职业生涯早期就意识到，使用像NIST成熟度模型这样的框架来制定风险计划，其对董事会或其他高管来说并不直观。同样的，过于深入地陷入技术细节也会迅速失去听众的注意力和信任，这对于CISO来说是一个需要避免的问题。

Rachid指出，高层管理人员并不会深入了解安全负责人的专业技能。因此，将风险以“对企业有意义的方式量化”是一种有效的途径。相反，因为过渡专业化而失去了高管层的关注，他们便会质疑安全负责人在风险管理领域的专业性。

在Rachid看来，讲述风险故事时，必须触及高管的关注点，尤其是实质性风险及其对业务和盈利的影响。为此，他调整了识别风险（包括实质性风险和独特性风险）的方法，并致力于以通俗易懂的方式传达这些风险，比如，明确指出数据泄露会给企业声誉带来怎样的损害。

为了确保信息传达的效果，他建议根据企业的具体情况来量化风险，这样听众就能充分理解安全负责人想要说明的内容。他分享道：“我之前在汽车公司任职，用汽车作为类比来讲述安全故事就很轻松，因为我们都明白在路上不系安全带会带来怎样的风险。”

CISO如何借由风险故事树立信誉

风险，作为商业运作中不可或缺的一环，其存在往往是难以规避的。实际上，若管理得当，风险亦能转化为积极的因素。Rachid对此表示：“我们身为风险管理者、辨识者及应对者，不应一味地将风险视为负面因素。对企业而言，风险既是生活常态，也是商业常态。”

当CISO们深入理解商业基础，不再局限于将风险视为单纯的技术或网络安全问题，而是将其置于更广阔的背景中并进行相应的审视时，这便有助于CISO们与高管团队及董事会建立更为稳固的信任与信誉。Rachid指出：“此举将提升CISO在高管团队及董事会中的信任度和能力认可度，同时也能使高管层在CISO谈及风险时更愿意倾听他们的见解。”

安全风险叙事中，数据与指标所扮演的角色

构建一个风险叙事时，相关指标的运用至关重要，但需避免陷入过于繁琐的细节。其核心在于，要通过精准描述来展现某一特定风险的全貌，这要求安全负责人深入了解如何在特定情境下，以最恰当的方式传达风险信息。

De Lude分享道：“在讲述风险故事时，我会精心挑选并融入关键指标，用以强化主题，同时结合行业报告（例如Verizon的数据泄露调查报告、IBM的数据泄露成本分析）中的统计数据和经验总结，为故事增添深度。而若话题转向第三方风险管理，我们可能会探讨供应商管理的数量、趋势走向、监管环境及其对业务的重要性。”

De Lude发现，听众总是热衷于了解网络安全项目与行业标准的对比情况，但关键在于，信息的呈现应避免让听众感到信息过载。“人们总是渴望了解，自家的网络安全项目与行业基准相比如何，但我不会使用过于复杂的图表或数据。我会明确展示我们的重点目标，并通过差距分析，清晰地表明我们与同行之间的相对位置，以及下一步的行动计划。”

De Lude对此补充：“为了保持听众的注意力，将复杂的风险转化为日常可理解的指标，我们仍需运用一些沟通技巧。比如，在与财务部门举行的市政厅会议上，我会提前做好准备，告诉他们‘各位财务专家，你们知道吗？你们是遭受攻击最多的三个部门之一，而这正是你们成为目标的原因’。”

无论是正式的董事会、委员会会议、市政厅会议，还是随意的走廊交谈，De Lude表示，安全负责人的目标始终都是一致的，即避免使用专业术语让听众感到困惑。“因此，我会尽量使用简单的词汇，将风险分解为易于理解的内容。经过实践后我发现，只要去掉专业术语，问题便能一目了然。因此，在与其他部门的沟通中，我会确保自己能够清晰回答以下三个关键问题：这个故事能否引起听众共鸣？是否易于理解？是否解决了听众的疑虑？”

强化叙事能力，为网络安全投资作出辩护

在网络安全项目的启动或重构阶段，构建一个强有力的叙事，其对于争取投资是非常关键的。据Hughes估算，遵循互联网安全控制框架的基本要求，所需费用大约在200万至300万美元之间。他指出：“这是一笔不小的开支。显然，安全负责人的叙事能力能有效推动这一新的投资计划。”

然而，正如某些故事会遭遇质疑一样，CISO也需要为自己的风险故事作出辩护，尤其是当故事涉及到大笔资金时。De Lude发现，通过“设立挑战环节，对故事或演示进行压力测试”或是一个有效的方法。她表示：“我会邀请不同的人参与试讲，解释相关概念，并征求潜在的反对意见，以此来测试和完善我们的叙事。”

De Lude还指出，与公司内部具备强大沟通能力的人才多交流，可以学习如何更有效地讲述故事。她强调：“得到这部分专业人士的支持，会给安全负责人的安全计划带来显著的效果。这部分人群虽然不是网络安全专家，但他们懂得如何以多种方式传达有力信息，因此他们能从侧面推动安全计划的进展。”

De Lude建议CISO也可以考虑与市场营销或销售人员建立合作关系，以更好地推销安全项目。“这部分人群虽然不是技术传播者，但他们却是实打实的商业传播者，这也正是CISO需要成为的角色：一个兼具网络安全专业知识和商业沟通能力的合作伙伴。”

国内安全专家的建议

对于安全负责人该如何培养沟通的能力？特别是该如何提高“讲故事”的技巧？国内安全专家如此建议。

某智能科技集团信息安全负责人孙琦表示，作为安全负责人，沟通能力非常重要，尤其是在向高层管理者、其他部门和员工解释复杂的技术概念、风险或安全策略时。提高“讲故事”的技巧可以帮助安全负责人更好地传达信息、影响决策和激发共鸣。对此，孙琦整理了一些对大家有帮助的内容供大家参考：

1. 了解受众

分析目标受众，知道你在与谁沟通，他们的背景、知识水平和关注点。对高层管理者，你需要简明扼要地展示风险和商业影响；而对于技术团队，你可以更深入探讨技术细节。使用通俗语言，避免过多的专业术语或技术细节，除非是在与技术人员交流。用简单易懂的语言解释复杂的概念。

2. 构建安全故事

情境化你的信息，通过实际场景或真实案例来展示安全问题的影响。例如，描述某个知名的安全事件是如何发生的，以及它对公司造成了什么样的损失；使用安全事件，结合安全事件或数据泄露的实际案例，描述“如果我们不采取措施，可能会发生什么”，以引起受众的共鸣；突出对业务的影响，高管更关注的是如何保护业务，所以要通过“故事”展示风险是如何威胁业务目标的，并说明如何通过安全措施避免这些风险。

3. 构建有吸引力的结构

设置冲突，讲述一个问题或挑战，例如公司面临的安全威胁、漏洞或法律法规的压力；解决方案展示，通过清晰的方式展示你们采取了哪些措施，如何解决问题，带来什么样的改善或好处；展示成功的案例、数据或结果，帮助受众理解这些安全措施是如何对公司产生积极影响的。

4. 数据与感性结合

用数据讲述故事，例如，展示漏洞数量的变化、安全事件的减少或响应时间的缩短，结合故事背景来让数字变得生动。

加入情感因素，有时，单靠数据难以引发足够的关注，加入与公司使命或文化相关的情感因素可以更有效地影响听众。

5. 讲述你自己的经验

作为安全负责人，你的个人经验是宝贵的资源。可以结合自己在安全领域的实际经历，讲述你如何应对挑战、推动项目，或者你在过去的工作中学到的教训。这样的故事可以增强你与听众的连接感。

“最后就是不断的实践了，没被挑战过是很难获得成长的。综合运用这些方法，把真实的故事有技巧性地表达出来。”

而某互联网企业安全总监“kimi”则表示，安全负责人作为守护企业信息安全的关键角色，其沟通能力，尤其是讲述网络安全故事的能力，对于强化团队安全意识、促进跨部门合作及提升公众认知至关重要。首先，培养良好的沟通能力是基础。这要求安全负责人明确沟通目标，尊重并倾听他人的观点，同时根据沟通对象的不同调整策略，确保信息被准确理解。此外，掌握并熟练运用清晰、简洁的语言表达专业知识，是建立信任与共识的关键。为了更有效地讲述网络安全故事，安全负责人需深化专业知识，了解受众需求，用通俗易懂的语言解释复杂概念，并结合生动案例、多媒体辅助及互动环节，使故事更具吸引力和说服力。这种能力不仅需要在内部培训中展现，以提升员工的防范意识，还需在外部宣传活动中发挥作用，通过社交媒体等渠道扩大影响力，让更多人了解网络安全的重要性。

“进一步地，讲好网络安全故事是一个持续学习和改进的过程。安全负责人应紧跟行业动态，不断更新知识结构，同时反思演讲经验，优化表达方式。在内部，可以通过组织定期的网络安全培训和模拟演练，将理论与实践相结合，加深员工对安全策略的理解和执行。在外部，利用行业会议、网络安全周等契机，积极参与并分享经验，不仅提升个人影响力，也为整个行业的安全发展贡献力量。通过这些努力，安全负责人不仅能成为企业内部的信息安全守护者，还能成为推动社会网络安全意识提升的积极推动者。总之，通过综合运用专业知识、沟通技巧与实战经验，安全负责人能够更有效地讲述网络安全故事，为构建更加安全的信息环境奠定坚实基础。”

零基础入门网络安全/黑客技术

【----帮助网安学习，以下所有学习资料文末免费领取！----】

> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集（含答案）
> ⑧ APP客户端安全检测指南（安卓+IOS）