五分之一的企业高管在讨论网络安全问题时，不愿表现出缺乏理解。卡巴斯基最近的一项研究揭示，十分之一的C级管理人员从未听说过僵尸网络、APT和零日漏洞等威胁。还有同样比例的人似乎不熟悉DecSecOps，ZeroTrust，SOC和渗透测试等网络安全概念。

根据普华永道（PwC）的一项研究，虽然在每个商业决策中支持网络安全已经成为每个其他公司的常态，但超过一半的企业高管对他们的网络支出被分配到他们组织所面临的最重大的风险缺乏信心。卡巴斯基进行了自己的研究，以帮助IT和C级管理人员找到共同点，并探索他们误解的根源。

卡巴斯基的调查问卷显示，C级别管理人员有时很难理解他们的IT安全同行，而且并不总是愿意展示出他们的困惑。因此，22%的非IT管理人员表示，在与IT和IT安全部门举行的会议上，如果他们不理解某些内容，他们会感到不舒服。虽然他们中的大多数人隐瞒了他们的困惑，因为他们更喜欢在会议后澄清一切，或者选择自己弄清楚一切，但37%的人不会问额外的问题，因为他们不相信IT同行能够以清晰的方式解释这些困惑。几乎十分之三的人不会泄露自己不了解这些话题，因为感到尴尬，33%的人不想在IT同事面前显得无知。

此外，尽管所有接受调查的高层管理人员都定期与IT安全经理讨论安全相关问题，但超过十分之一的受访者从未听说过僵尸网络（12%）、APT（11%）和零日漏洞利用（11%）等威胁。与此同时，间谍软件、恶意软件、木马程序和网络钓鱼似乎更为高层管理人员所熟知。

超过十分之一的高层管理人员承认他们从未听说过像DecSecOps（13%），ZeroTrust（11%），SOC（11%）和渗透测试（11%）这样的网络安全术语。

“非IT高层管理人员没有必要是复杂的网络安全术语和概念的专家，IT安全主管在与董事会沟通时应牢记这一点，”卡巴斯基解决方案架构师Sergey Zhuykov评论说：“为了建立有效的合作，首席信息安全官（CISO）应该能够将C级管理人员的注意力准确地集中在有意义的细节上，并清楚地解释公司正在采取什么措施来最大限度地降低网络安全风险。除了向利益相关者传达明确的衡量标准外，这种做法还需要提供解决方案而不是提出问题。”

为简化公司内部IT安全与业务职能部门之间的沟通，卡巴斯基建议：

IT安全应被定位为组织增长和创新的驱动力。为了实现这一目标，IT安全团队应该摆脱禁止性的策略，而是解释企业如何在消除网络安全风险的同时实现其目标。

首席信息安全官（CISO）应积极参与运营活动，并与公司的利益相关者建立关系。虽然只有不到20%的CISO与销售、财务和营销部门的关键高管建立了合作关系，但他们很难跟上业务需求的步伐。

在与董事会沟通时，请使用基于专家对威胁的概述、本公司的攻击状态和最佳实践的论据

向董事会解释IT安全团队的主要职责是什么。如果可能，请为他们提供机会，让他们站在首席信息安全官的立场上，深入了解最相关的 IT 安全挑战。

将网络安全投资分配给具有已验证有效性和投资回报率（ROI）的工具。这意味着能够降低误报水平、减少攻击检测时间、减少每个案例花费的时间和其他指标的工具对任何IT安全团队都很重要。

有关C级管理人员和IT安全经理之间沟通问题的完整报告和更多见解请参见这个链接。