安小圈 10月27日 09:52

安全沟通是关键

安全问题本质上是沟通问题。安全公司与安全团队在沟通方面存在障碍，导致高管、客户等无法理解安全的重要性。安全行业需要改进沟通方式，用清晰的语言和故事讲述风险，让更多人重视并参与安全。

😔安全公司与安全团队在沟通方面存在障碍，导致高管、客户等无法理解安全的重要性，从而影响安全项目的预算分配和实施。

🗣️安全行业需要改进沟通方式，用清晰的语言和故事讲述风险，让更多人重视并参与安全，例如用‘数据关怀’代替‘网络安全’。

📊安全从业者需要将风险转化为业务语言，用CFO或COO等企业领导者关心的语言，例如收入、市场份额和股东价值，来表达安全工作的价值。

📚安全负责人需要用商业术语包装工作，向董事会展示安全价值，例如服务中断、客户流失、监管罚款以及竞争劣势等。

🎙️安全行业需要学会讲述更出色的故事，将抽象威胁转化为可被理解的具体关联，建立情感联结，推动人们采取行动。

ROSS HALELIUK 2025-10-27 08:45 上海

安小圈

第778期

如果你问大多数 CISO，他们如何看待安全公司对自己业务的描述，他们会直言不讳地告诉你，初创公司在沟通方面简直糟糕透顶（这个评价确实中肯）。然而，如果你换个角度，问问其他人与安全团队合作的感受，你也会听到类似的抱怨——安全专业人士和领导者均不擅长与周围人沟通时。这并非创始人或 CISO 们刻意刁难，而是安全领域本身存在沟通障碍。

本文正是要探讨这一现象。

安全问题，归根结底是一个沟通问题

当大多数人想到网络安全时，脑海中浮现的往往是漏洞利用、攻击者、威胁情报、防护框架以及合规标准等诸多方面。这些想法固然重要，安全确实包含许多层次和维度，而每一个都至关重要。但在我看来，人们常常忽略了一个根本事实：在诸多因素之中，安全本质上是一个沟通问题。

不妨这样想一想：企业每年花费数十亿美元预算，但大多数高管、董事会成员、客户，甚至有时连安全产品的采购者，往往不清楚自己花这些钱到底能买了什么。CISO们不得不投入大量精力为重要的安全项目争取预算，因为决定预算分配的人往往根本不明白安全的重要性。另一方面，安全供应商深陷各种流行术语和四字母缩写淹的泥潭，采购方根本不清楚大多数公司所提供的价值究竟是什么——这倒不是说这些价值本身没有价值，而是供应商们很难清晰地传达出这些价值。更糟糕的是，虽然安全从业者早已习惯于从各处看到威胁和攻击，但行业外的大多数人却完全不了解网络安全问题已经严重到什么程度。

需要明确的是，所有这些问题并非因为缺乏努力。越来越多的公关和传播咨询公司专注于帮助安全初创企业传递信息，越来越多的首席信息安全官和安全从业者在社交媒体上积极发声，甚至普通大众也通过新闻、纪录片等渠道接触到越来越多的安全相关报道。尽管投入了如此多资源，我们似乎仍在应对着十年前网络领域就已存在的那些问题——我认为这很大程度上与沟通有关。

安全行业中的沟通问题

安全厂商主导的信息传递未能有效触达目标受众

安全厂商在价值主张表述上普遍存在模糊化和过度复杂化的问题。令人惊讶的是，大量公司连一些基本问题都回答得不够清晰，比如你们到底能解决什么问题？为谁解决问题？创始人和销售团队不去厘清这些根本问题，反而一味强调具体功能——AI智能体、机器学习引擎、行为分析等等，却丝毫没有触及客户的实际痛点。正因为如此，许多安全从业者才会抱怨“供应商太多”。但正如我之前所述，问题并不在于供应商数量过多，而在于大多数厂商因无法清晰传递差异化价值而显得千篇一律。

行业术语如今已成为网络安全领域不可或缺的一部分，以至于我们不再对其提出质疑。如今，什么产品都是“下一代”、“AI驱动”和“零信任”，但大多数公司却无法用实际成果来解释这些术语。需要说明的是：绝大多数网络安全领域的创始人都是充满热情、积极进取且诚实的人，他们热衷于解决现实问题。在很多情况下，他们难以清晰传达自身工作的价值，恰恰是因为沟通问题。

沟通问题往往会让初创企业损失收入，有时甚至导致失败。这种情况的发生其实很简单：供应商在推销时强调其技术的创新性，而买家关注的主要是如何解决实际运营中的难题，比如减少警报数量、保护云环境安全、加快审计速度或减少手动工作量。如果初创企业无法将自身价值主张与这些问题精准对接，即便他们的产品原则上能够解决客户的问题，也可能会错失成单机会。

大多数安全初创公司可能会将其归结为营销问题，而我却认为这是一个沟通问题。要解决这个问题，创始人需要明确自己究竟在做什么、为谁服务、正在解决哪些问题，以及为什么客户应该关心这些问题。我首先要承认，做到这一点非常困难，但我也认为，这是早期创业公司最需要搞清楚的关键问题之一（其他一切，比如定位、传播，甚至产品开发，都始于这种清晰的认知）。

安全从业者难以将风险转化为业务语言

安全从业者自身在沟通方面也面临挑战。他们谈论威胁行为、漏洞利用和横向移动等概念，这些术语在同行间能产生共鸣，但对CFO或COO这样的企业领导者而言却如同天书。每个技术领域都有自己的专业术语，这无可厚非，关键在于从业者该如何向外行传达这些专业概念？

每当我谈到这种沟通障碍时，总有人反问：“为什么非得让安全从业者调整沟通方式？为什么不让业务部门来学习安全知识？”每当我听到这样的说法，脑海中就会浮现出医患沟通的情景。医学知识体系非常复杂，每一个健康问题都涉及大量复杂的医学术语。当我们去看医生时，我们理所当然地期望他们用通俗易懂的语言与我们交谈，而不是满口术语。这个类比还有另一层深意：过去，医生往往只是简单地告诉患者该做什么，而不会做任何解释（就像安全直接指定控制措施一样）。但如今，患者逐渐被赋予了更多自主权，能够对自己的健康做出决策，医生的角色也正在转变为教练和顾问。医生会向患者提供各种选择，并说明不同决策可能带来的后果，但最终决定权还是掌握在患者手中。

企业领导者关心的是安全风险如何影响他们的收入、客户、声誉或运营，他们关注的是服务中断、客户流失、监管罚款以及竞争劣势，而不是哪种勒索软件家族正在利用哪个内核漏洞。这种认知差异并不是因为安全领域以外的人不关心细节，而是因为许多人认为这些细节与自身职责无关。

普通员工并不关心如何降低风险，他们更在意的是能够顺利完成自己的工作，避免额外的阻碍、复杂流程或犯错顾虑。要与他们产生共鸣，安全措施必须被塑造成一种助力他们完成工作的工具，而不是障碍。当人们认为安全是为了支持他们的成功，而非单纯地对他们进行监管时，他们就更有可能主动接受并融入其中。而这，也正是将安全视为沟通问题的核心所在。

安全负责人难以获得高管的支持

不仅仅是安全工程师，就连安全负责人也常常面临沟通困境。在向董事会展示安全价值时，他们往往依赖安全工具生成的仪表盘和报告，呈现拦截攻击数量、合规评分等数据。虽然这对某些拥有专业背景的董事会可能有效，但大多数情况下，企业目标与安全管控措施之间的关联仍显得模糊不清。

这种认知偏差正是语言障碍直接导致的结果。许多CISO习惯用风险评分、漏洞和威胁行为来表达，而董事会则更关注收入、市场份额和股东价值。当董事们无法理解安全工作如何转化为业务成果时，他们就会产生怀疑并疏于关注。领导者无法支持自己不理解的事情，也不会投资于自己不信任的领域。

过去数年里，业界为帮助安全负责人提升董事会层面的领导力付出了大量努力。若此时再提出"安全负责人应该用商业术语包装工作"这类建议，实属不尊重实际困境。这个道理人尽皆知，我职业生涯中从未遇到过哪位首席信息安全官会觉得这种泛泛之谈有用。真正的难点在于如何让人们重视安全这类议题——这既需要超越基础的专业掌控力，也离不开长期的关系建设。

安全行业在向公众传达风险方面表现堪忧

安全沟通问题不仅限于组织内部，更延伸到了整个社会。当普通民众听到安全话题时，这些信息通常被描述为一种抽象的威胁——穿着帽衫的黑客、无形入侵以及“迫在眉睫的网络战”。即便大规模数据泄露事件往往直接危及普通人的数据安全，但相关新闻引发的公众反应远不如业内预期的强烈。

事实上，普通大众并不了解网络安全。人们阅读相关新闻后，要么陷入恐惧，要么无动于衷，不清楚这些内容与自己的日常生活有何关联。我曾在此前的论述中指出，人们在理解和管理风险方面表现得非常糟糕。美国国家安全委员会发布的一张信息图很好地说明了美国人常常为错误的事情担忧。例如：

驾车死亡的几率（1/470）远高于遭雷击致命的几率（1/164,968）。

意外致死的概率（1/31）远高于遭枪击身亡的概率（1/358）。

行人过马路时遭遇死亡的概率（1/704）远高于遭蜂类蜇伤致死的概率（1/55,764）。

在安全领域，核心问题在于人们缺乏明确的风险预期。Gula Tech Adventures 的Cyndi和Ron Gula认为，阻碍人们理解网络安全重要性的一个障碍，就是我们谈论它的方式（又回到沟通的问题）。事实上，“网络安全”这个词本身就涵盖了许多不同的方面和含义，其具体指涉往往因使用者和语境而异。Gula Tech 团队希望用“数据关怀”来取代“网络安全”这一术语，在他们看来，这样能够更轻松地传达每个人保护自身数据的个人责任，并与董事会讨论公司数据面临的风险。“安全”这个词在某些情况下甚至可能让少数群体感到排斥——比如警察执法、安全监控等，这些概念在某些社区中带有负面联想。“数据关怀data care”则显得中立且易于被任何人理解。

数据关怀的理念很简单：我们需要促使个人和组织对自己的数据承担起照护责任，因为数据才是我们需要保障机密性、完整性和可用性的核心对象。数据关怀与医疗保健颇为相似。每当人们感到不适时，都应去看医生。我们知道有许多专科医生——比如心脏科医生、免疫学家、皮肤科医生、内分泌科医生等等，但普通人通常会先去看家庭医生，由他们评估问题并转介给相应的专业医护人员。更重要的是，我们明白，虽然生病时医生会提供帮助，但照顾好自己的饮食、睡眠、锻炼以及其他影响我们健康状况的方方面面，却是我们自身的责任。然而，在网络安全领域经常出现的情况是，我们试图让每个人都成为脑外科医生（即安全工程师），期望普通人也能深入精通安全知识，这显然不现实。与其寄希望于五年内把所有人都培养成Kevin Mandia（知名安全专家），不如教会他们如何自己照护好自己的数据。而实现这一转变，必须从改变沟通方式开始。

清晰表达与故事叙述

沟通是一项包罗万象的通用技能，仅仅说安全领域的人需要提高沟通能力，未免太过笼统。在我看来，只要掌握两个关键维度——其一是清晰表达，其二是直击人心的故事——就足以改变职业轨迹与企业命运。

清晰表达是有效沟通的前提。这里所说的清晰度，是指明确沟通主体（个人或企业）想要传递的内容、目标受众以及受众为何需要关注这些信息。当人们能够用单一明确的信息精准触达特定群体时，才真正实现了清晰沟通。在网络安全行业，我注意到大多数公司官网内容庞杂冗赘，虽然文字堆砌却缺乏明确的信息焦点。

虽然清晰表达是有效沟通的前提，但真正让沟通取得成功的是讲故事的艺术。安全行业惯于依靠统计数据、缩略术语和技术行话来传达观点，然而问题在于：数字和逻辑并不能打动人心。人类是通过故事来理解世界的，他们记住的是叙事，而不是仪表盘；当某件事与个人产生共鸣时才会引发关切，而不是听一个西装革履的人谈论一些抽象的概率或风险量化（尽管我深知这类工作的重要性）。并不是说数字不重要（它确实很重要！），只是单纯依靠数字很难说服他人——它必须成为故事叙述的基础。

正是这些故事让风险变得真实可感。向董事会汇报“网络钓鱼点击率是 3%”难以引发紧迫感，但如果向他们讲述某位员工点击了一封伪造的发票邮件，攻击者几乎因此获得了公司财务系统的访问权限，以及企业距离损失数百万资金仅一步之遥的经历，就能让风险变得具体而直观。故事架起了技术与非技术领域的桥梁，它就像一种通用语言，无论对方是深谙最新0day漏洞、利用手段和攻击路径的专业人士，还是完全不了解0day为何物的普通人，都能理解并产生共鸣。

最重要的是，故事能够建立情感联结，而情感推动着行动。人们会保护自己所关心的事物，而他们关心的正是自己所感受到的东西。一个有力的安全故事能让人感同身受，因为它将抽象威胁转化为可被理解的具体关联——无论是他们的工作、数据、客户，还是声誉。因此，我认为推动安全领域发展的途径之一，就是学会讲述更出色的故事，让人们对之倾听、铭记，并采取行动。