建立有效的网络安全程序的必要性

重点总结

• 随着数据泄露数量的激增，网络安全的需求亟需加强。2021年的数据泄露数量较2020年增长了17%，成本高达426万美元。
• 很多组织在推动应用安全（AppSec）项目上面临挑战，因为C级高管对安全风险缺乏认识。
• 通过数据支持和清晰的目标，可以增强说服力，让高管认识到网络安全的重要性。
• 采用直观易懂的表达方式，与高层沟通时应关注他们关心的财务和品牌形象。

随着网络威胁的增加，有效的网络安全程序的重要性日益凸显。根据报告，2021年10月，数据泄露事件的数量比2020年增加了17%，并且2021年的数据泄露成本创下了17年来的最高值，达到了426万美元。然而，对于一些组织来说，在建立有效的应用安全程序时，其实面临着重大障碍——获取高管的支持。C级高管可能并不了解面临的风险，或者由于对内部流程和工具缺乏深入认可，认为已采取了足够的安全措施。如果以一份缺乏信息和策略的昂贵计划呈现，他们很可能不会看到继续推进的价值。

在推动应用安全的过程中，往往需要通过自上而下的协调和理解，让团队配备必要的资源来构建和管理安全的网络应用程序。以下实用建议将帮助您制定策略并向领导层提出观点，以提升组织的安全态势。

1. 认真对待指标和可衡量的策略

C级高管关注的是数字和结果，因此在构建应用安全策略时，依赖于和可测量目标至关重要。高管通常更关心品牌形象和公司财务，因此在您的推销中应包含关于成本节约和公众对重大泄露事件看法的要点，以此与他们的语言更加契合。

依靠能充分支持当前修复率、补救时间、合规需求和误判率的分析数据，展示新工具或升级工具如何帮助缓解这些痛点。例如，您知道吗？不充分的工具和流程可能意味着团队成员解决当前安全问题积压的平均时间为，或者有三分之一的漏洞在测试或开发阶段未被发现就已进入生产环境？

领导层可能甚至对和供应链的风险并不了解，而这些风险会增加攻击面。一旦他们了解行业风险，就可以将这些数据与自己的指标关联，作为问题区域的证据，强调自动化工具的帮助。如果没有用数据支持您的策略，使其形成可改善的战斗计划，您就会像盲人一样行动。

2. 使用他们的语言让计划更具共鸣

在组织内部，并不是每个人都说同一种语言，尤其是在高层。安全与开发之间的沟通差距需要在运营层面解决，但在向高管团队提案时，重要的是用能够引起共鸣的方式表达，重点放在他们真正关心的事物上。

那么，应该针对哪些具体角色发力呢？这因组织而异，尽管修复率或缺陷密度等主题通常更适合CFO、CIO、CSO和CISO。如果有背景强大的C级团队成员，可以与他们讨论发现和补救时间与生产目标之间的关系。对于CEO、CCO或法律部门，关注合规和法规方面的策略和指标，以强调组织如何达成目标。

另一个好建议是避免使用缩略词和常见的术语，这可能会导致信息混淆，并使用可视化方式以确保数据的清晰性，以便在细节至关重要的情况下能更好地表达。对于时间紧迫的高管来说，清晰、简洁的信息更容易处理和传达给董事会。使用他们的语言，信息更有可能对您有利。

3. 组织框架以解决具体的问题

推销