安全与防诈领域的大多数从业者都深知与业务层主要利益相关者合作的重要性,但有时可能会忘了业务人员未必理解这一领域的行话。不过,业务人员有自己的智慧和分析能力。只要以他们能够理解、内化和执行的方式沟通,安全与防诈工作便能获益良多。

鉴于此,安全与防诈主管似乎值得投入时间学会业务用语。比如说,了解哪些东西能够引起高管和董事会共鸣,就在许多方面助益安全主管:获得必要的预算、获取所需的支持、展示团队的价值等等。

那么,如果决定努力改善与高管和董事会的沟通,该如何着手呢?首先,谨记高管和董事会主要考虑的是钱。这可不是什么贬义,他们需要确保企业健康盈利,且不产生不必要的风险、费用和/或损失。因此,学习如何将安全与欺诈概念转化为货币风险,有助于与高层进行有效沟通。

正巧,时间也来到了节假购物高峰期,而且现在很多都是在线购物了。关注在线应用所用的数字渠道(Web和移动)正当时。作为安全和防诈专业人士,我们需要保护应用程序不受机器人程序和欺诈的损害。但该如何与业务人员讨论这个话题呢?如果将之转换为对各种不同财务风险的评估传达给业务人员,会有怎样的效果?

我们不妨考察以下几个可能对业务产生影响的方面,并思考如何以业务用语讨论其影响:

● 商誉损失:遭遇账户接管(ATO)之后,一些客户可能会失去对在线应用的信任。可以预见,这会造成营收损失。但到底具体损失多少?这就是个问题了。估算具体损失需要付出一些时间和精力,但挖掘数据,从而查清失去客户信心还能剩下多少营收,不失为向高管和董事会传达商誉受损风险的好方法。

● 欺诈损失:欺诈可造成严重经济后果:Juniper Research的一份报告显示,到2023年,网络欺诈损失预计将超过每年480亿美元。掌握到底多少成本流入诈骗旋涡可以很好地合理化缓解该风险所需的预算。只要掌握客观的指标,预算讨论就变成了简单的投资回报率(ROI)计算。

● 数据盗窃:很多司法辖区里,盗窃客户及其他个人可识别信息(PII)数据可能伴随数据泄露成本和监管罚款。当然,除此之外还有此类事件导致的商誉损害。计算这些成本有助于提出需要采取哪些措施来缓解数据盗窃带来的风险。

● 调查成本:安全事件、机器人程序攻击或欺诈事件发生后,企业面临大笔调查支出。尤其是,如果事后才得知问题,团队需要努力找出正确的数据源,调查发生了什么,还原事件全貌。如果缺乏可见性,调查会变得更加耗时,也更费钱。不过,尽管工作繁复,但找出所有可见性缺口,将之理解为额外的调查成本,并摸清调查与响应每起事件的总体成本,对于证明应对这些问题的预算合理有很大帮助。

● 基础设施成本:Aite-Novarica Group的研究报告显示,有些人可能没有意识到机器人程序产生了高达40%的在线流量,是网络攻击的一大主要原因。这一结果明显意味着,企业基础设施成本中很大一部分都耗费在了服务合法客户之外的自动化请求流量上。了解机器人程序到底让企业损失了多少,是向高管和董事会沟通机器人程序攻击风险的好方法。

● 性能成本:遭到机器人程序攻击时,在线应用的性能可能会受到损害。了解有多少用户抛弃了公司网站,因此而造成公司损失了多少潜在收入,是向高级管理层沟通性能成本的基础。

● 篡改库存:有些攻击者特别善于利用机器人程序篡改库存。如果攻击者从合法客户手中拿走库存,损失无可避免。了解这一损失有利于更好地与高层沟通。

● 客户支持成本:由于账户接管(ATO)和其他类型攻击的存在,只要用户无法访问自己的账户,往往就会产生客户支持成本。遗憾的是,此类成本通常会遭到忽视,却又是高管和董事会也想知道的一种成本。

用高管和董事会听得懂的语言沟通很重要。安全与防诈主管需学会将安全与欺诈风险转换为财务风险,这样与业务层沟通起来才更容易获得预算、争取支持,向上级传达价值。想要做到这一点确实需要付出一些努力,不过,肯定会值回票价。

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。