大多数 CEO 都能准确说出季度基准和收入数据,甚至精确到小数点后几位;但如果问到其组织的网络风险暴露情况,答案往往就会变得含糊。这并不是说如今的 CEO 不重视安全——网络安全已成为董事会和高管团队最关注的问题之一。问题更深层:在向业务领导者解释安全风险的方式上存在根本性脱节,忽视了这些风险对业务成果的影响。

CISO 与 CEO 之间的大多数沟通问题并非源于能力不足,而是源于一个常见问题:知识的诅咒。知识的诅咒是一种常见挑战,专家(在这里指安全领导者)可能会假定会议室里的每个人都对技术信息和术语具备基本理解,因此未能用通俗语言拆解复杂风险,也未能充分说明现实业务背景。

Ivanti 的《2026 年网络安全状况报告》凸显了这种脱节。近六成安全专业人士表示,其团队在向高管层沟通风险暴露方面只能算中等有效。

当 CEO 和 CISO 不能使用同一种语言沟通时,关键业务漏洞可能会被技术术语所掩盖。一旦沟通失效,组织就会把时间和资金浪费在方向错误的投资上,而防护缺口则可能一直未被发现,直到数据泄露事件迫使各方开始对话。

随着威胁水平不断上升,AI 驱动的攻击日益复杂,数据泄露事件几乎每周都会成为新闻头条。CISO 与高管层之间实现清晰沟通的重要性从未如此之高。

要理解这一沟通鸿沟为何持续存在,我们需要同时审视根本性挑战,以及用于衡量成功的指标。

网络风险沟通为何失效:知识的诅咒

CEO 与 CISO 之间的这种脱节并不是因为缺少数据。事实上,情况恰恰相反。从 CEO 的角度看,挑战不在于关注度或意愿,而在于他们看到的是仪表板、指标、缩略语和严重性评分,却不了解这些结果对整个业务的影响。

安全领导者需要假设,会议室中的许多人并不了解 CVSS 评分、攻击面和零日漏洞等术语的含义。CEO 需要的不只是充斥着指标、缩略语和严重性评分的仪表板。

网络安全简报需要更进一步,说明这些结果对企业在财务、法律和声誉方面的影响。CISO 可能会报告“本月检测到 587 个严重漏洞”,但 CEO 实际需要知道的是:“其中哪些会威胁到我们服务客户的能力?我们计划如何应对?”

CEO 真正关注的网络安全 KPI

有用的 KPI 能够清晰地将漏洞管理工作与业务风险联系起来。然而,我们的网络安全研究发现,安全团队最常使用的 KPI 无法反映风险背景。

目前,只有一半的公司(51%)跟踪网络安全暴露评分或其他基于风险的指数。许多安全团队仍然依赖流程指标,例如平均修复时间(47%)或已修复暴露项百分比(41%)。

平均修复时间(MTTR)、补丁部署速度和已修复百分比等指标对安全团队很重要,但它们衡量的是运营效率,而不是业务暴露或潜在财务影响。孤立来看,这些指标可能让人安心,却掩盖了真正的问题:我们是否正在有效管理风险?

这些关注速度和覆盖面的指标,单独看可能表现不错,但并不能充分说明当前的修复工作是否真正改善了风险态势。漏洞修复得有多快、处理了多少,并不是最关键的。更重要的是,是否正在处理正确的问题。

安全团队与董事会和 C 级高管之间要形成共同理解,需要将难以解读的指标置于现实业务影响之中。对 CEO 而言,这意味着要与 CISO 就所在组织最重要的风险达成一致——您是否是一家金融机构,经常面临复杂欺诈手段、PCI-DSS 和 SOX 等严格合规要求,以及针对客户财务数据的勒索软件持续威胁?您是否是一家医疗保健组织,一方面需要保护不断扩展的联网医疗设备网络,另一方面还要维持严格的合规标准以保护敏感患者数据?

下面我们通过示例说明,仅依赖技术指标的高管安全简报,与加入背景和业务影响的简报之间有何差异。

CISO 会这样说:

  • “我们发现了 11,000 个漏洞。”
  • “MTTR 已从 25 天降至 15 天。”
  • “我们对关键 CVE 的修复率达到了 88%。”

CEO 实际需要知道的是:

  • “我们已识别出 10 个可能影响创收系统的严重漏洞。”
  • “如果今天遭受攻击,我们可以在 6 小时内恢复关键运营,而去年需要 48 小时。”
  • “这项防护使我们能够推进欧盟市场扩张,而不会增加额外的合规风险。”

构建高管层级的风险偏好框架

高管沟通依赖于共享框架,以及对风险如何定义、衡量和讨论的共同参照。为消除不一致和混淆,所有利益相关者都应参与创建并执行风险偏好框架

这些对话的一个主要目标,是帮助业务领导者理解:网络安全计划的目标并不是实现完全“零风险”——任何现代组织都不可能完全没有风险。换句话说,CEO 必须能够区分其风险偏好与风险态势。

1. 风险偏好:企业为追求总体目标而当前愿意承受的风险程度。

2. 风险态势:组织当前风险暴露的实际状况。

如今,大多数组织已经认识到,有必要将其愿意接受的网络风险程度正式化。Ivanti 的研究显示,超过 80% 的组织拥有成文的风险偏好框架。

然而,不到一半的组织表示这些框架在日常运营中得到了严格遵循。当框架只停留在纸面上,而不能指导实际决策时,您的组织很可能存在风险偏好与风险态势不一致的问题。

暴露面管理如何弥合沟通鸿沟

暴露面管理是一种基于风险的方法,可在整个攻击面范围内持续识别、确定优先级并验证潜在威胁的范围。开展暴露面管理有助于将安全领导者和高管领导者统一到一个全面的策略之下,使网络安全重新围绕业务关键风险展开。

暴露面管理并不将所有漏洞一视同仁,而是通过提出以下问题,聚焦于识别并确定组织最高风险的优先级

  • 当前哪些暴露项正被威胁行为者在实际环境中利用?
  • 根据当前业务运营,哪些资产需要优先处理?
  • 哪些资产一旦受损,会在声誉、客户或法律损害方面造成最大影响?

Ivanti 的研究报告显示,近三分之二的组织如今投资于暴露面管理,领导层对此的理解也逐年提升。但执行仍然滞后:只有约四分之一的组织认为其评估风险暴露的能力达到优秀水平。

为了缩小这一差距并有效推动暴露面管理落地,CISO 应围绕三项原则开展高管沟通

1. 将技术信号转化为业务背景。不要只报告漏洞数量,而要说明哪些暴露项会影响创收系统、客户数据或受监管环境。

2. 按影响而非数量确定新兴威胁的优先级。高管不需要跟踪每一种新的攻击技术。他们需要了解哪些情况可能对业务造成实质性中断,以及组织是否做好了响应准备。

3. 使用情景,而不是电子表格。以数据为支撑,将原因、影响和结果串联起来的叙事,有助于领导者内化风险并更快做出决策。

这种方法会将您的风险缓解策略从被动防御转向主动决策。

前进之路

当高管和安全领导者使用同一种语言沟通时,知识的诅咒就可以被打破,网络安全也会成为保护业务价值、推动增长并将安全实力转化为竞争优势的战略赋能因素。

知识的诅咒可以被打破——从一个经过转化的指标、一次聚焦业务的对话、一个清晰的决策开始。