在講這主題前，我們先來回顧一下，如果我們要對老闆談資安，中間的認知gap是什麼?

對於資安認知，我相信初期跟前一篇談到的一般user一樣，老闆也是人，沒接觸過資安概念之前都差不多。~~(可能都停留在"資安是資訊的事與我有關?"、"資安做好應該是IT的基本功吧"、"資安投資哪有那麼貴FW裝裝就好了")~~這無可厚非，這在我們的一波波大內宣中他也會逐步成長。

但是，他是老闆、他是老闆、他是老闆，老闆看的視角和能帶來的影響與一般人不同，要讓老闆有感，就要用他的思維模式、可以理解的共通語言來說明資安這件事。
而我們有責任幫老闆轉成他想知道、能吸收的訊息，讓他做出正確的決策，才是身為專業幕僚的價值。

一、首先，請撇除各種資訊/資安關鍵名詞，最最最基礎的共通單位語言就是:錢和時間，別忘了企業資安是圍繞著商業活動為核心。
(舉個例子比喻:網路上最愛將各種單位換算成影養午餐)

因此，建議可

• 1.轉換思維:把無感的攻擊防禦，轉成"為公司擋掉多少$$損失"的角度來說明，把資安防禦下來的次數，乘上資產的價值(還記得我們之前有一天提過風險評估和資產鑑價的)，換算成每一次的防禦都是有經濟價值的效益。
• 2.投資回收:舉個例，導入一套資安管控設備可能要投入200萬，但是若不做，風險發生時的損失最低可能超過500萬，該風險頻率每兩年會發生一次，破除"賭一把"的想法，讓這項投資視為可於兩年內被回收的。
• 3.節省時間人力:如果是在意工時/人力的企業體，也可以把資安措施導入後會節省的人工時統計出來，例如每年耗損在紀錄追查的時間是30個工作天(240hr)/人，實施後可縮短到5個工作天(40hr)/人。
• 4.信心效益:除了上述之類的量化方式，也可以把無形的效益盡量凸顯出來，如商譽的增加、客戶的信任、新聞曝光度等等，增進信心與誘因。

二、老闆想知道的是差別，當他給了你資源(錢)、授權(權)、金口(它的信任)，能換來的差異是什麼?對公司的營運就保障了嗎?內部單位執行狀況?
還記得我們之前有一天提過要保留實施前的證據嗎，把導入前和倒入後的差異徹底的比較一下，從五大面向(人員管理、設備管理、風險管理、法規對應、環境管理)進行比較，讓他認知到導入這些後換來的是一個有制度、框架的在往好的地方走。對於公司營運和內部執行狀況，則需要採用以部門為單位的統計資料，轉化成比較圖，展現各部門的執行概況。

三、在上述的二項要點，在表達上除了文字，基於有量化數據你可以用更簡單的層別概念幫助他快速閱覽(老闆日理萬機阿好好疼愛他唄!)，以下舉幾種好用方式推薦給大家。

1.部門圖表差異呈現

用柱狀圖對比部門間的差異，或是跟去年的基期來相比較

2.趨勢引導指向:
若是有時間軸趨勢性的走勢，加註越高越好/越低越好，省去閱讀數字的意涵增加可讀性。

3.百分制比例
許多項目若用比較的難以呈現優劣，不妨轉成百分比制，就算不完全明白其內容，也能理解哪一邊比較讚。


4.專業評鑑資料基礎
有些比較項目較為專業性質，可試著將之轉換成達標評比，量化說明。

借鏡各種儀表板、戰情室的設計，用手邊的材料、呈現手法，想辦法聚焦老闆的疑問和視角，揉成一份【XX公司資訊安全風險內控概況】讓老闆能快速了解你在資安方面的努力與趨勢。
另每家老闆想要的點不一，這邊簡單舉例一些其餘仍要依照公司內文化來搭配喔，用一份好的簡報跟老闆報告一下推動資安的好處吧。