以前曾在咨询和安全公司工作的Scott Blake虽然担任首席信息安全官的职务只有一年时间，但是，他认为，他已经得到了足够的向公司主管推销安全产品的内部经验。对于最初的使用者来说，可以使用FUD(“恐惧、不确定、怀疑”的缩写字)作为最后的手段。

　　Blake现在是利宝互助保险公司的首席信息安全官。他说，采用上述做法可以产生许多事与愿违的结果。使用FUD手段可以引起对安全部门实施错误的详细审查，结果使企业主管把重点仅仅放在“邪恶的统计”方面并且错误地认为他们不需要更安全的手段，因为企业很少出现重大的安全事件证明当前的保护措施很好。

　　情况恰好相反。Blake7月13日在Burton Catalyst会议上介绍了建立安全计划的几种其它的方法，这包括从根据企业文化和业务增长的动力来调整安全目标到在重大安全事件发生之后仍可以保持你的工作等各种方法。在每一种情况下，安全专业人员必须学会以不同的方式向IT和业务主管谈论同一个问题。例如，在正式确定一个安全计划的时候，IT主管要求听到需要哪些具体的工具和技术来完成这个工作。而业务主管需要了解有助于减轻风险的过程和政策。

　　但是，要了解你的方法在这两种策略中如何才能都有效。Blake承认，符合标准的要求有时候比我想象的还没有用。同样，因为去年收入达200亿美元的利宝互助保险公司是一家私营公司，并不受Sarbanes Oxley Act法案的约束。这个法案规定如果一家公司没有恰当地保护数据，其首席执行官和首席财务官有蹲监狱的危险。Blake说，虽然利宝互助保险公司也不受推动安全的“Gramm-Leach-Bliley Act”法案的约束，但是，该公司首席执行官的规定离我很近。

　　因此，Blake建议那些为安全计划牟求资金的人们要通过进行风险评估展示安全的改进，然后向IT官员提供一个把这些计划按优先次序排列的列表并且确认这个排列次序。他说，每一个人都喜欢看到按照优先次序排列的列表。我曾经这样提出过许多机构改革的建议。

　　对于业务官员来说，你要设法说明安全投资如何能够推动业务的增长。例如，应用一项客户满意调查，显示人们需要更多地使用网络服务，但是目前人们还不愿意这样做，因为担心在线盗窃和诈骗活动。向C-suite展示安全如何使用户更安全地使用网络服务。网络服务将减少与昂贵的纸张和人员操作的系统有关的费用。

　　Blake说，按照这个思路，诚实是很重要的。不要把安全当成是某种横财来推销，因为安全显然不是这样的。相反，你要解释这个计划需要花费更多的资金和需要更长的时间来完成。但是，这个投资最终会得到回报。在这里，提供一个现实的时间框架也是非常重要的。

　　一旦资金和安全计划的基础确定之后，重要的是要继续从威胁和安全漏洞对公司资产的威胁角度说明安全状况。这包括报告行业和企业的趋势。希望IT官员重点了解事件处理的细节和保护系统的技术以及网络等。他们还要求一些指标，这是整个企业安全团体最新都采用的那些东西。

　　至于业务官员，要教育他们了解可以接受的风险。我的一个做法是设法把风险的拥有权从IT部门转移到业务部门。Blake解释说，下的赌注越大，得到的收获就越大。

　　即使在建立起防御体系之后，你仍需要解释入侵者是如何攻破一个网络的。Blake劝告那些怕丢饭碗的人向IT官员说明如何快速发现根的原因和如何封锁安全漏洞或者限制威胁。要有一个计划防止这类事情再次发生。

　　对于业务主管来说，希望他们提出一些严厉的问题，也许是人们忽略的一些问题。Blake解释说，业务主管一般不真正了解这些问题。我们的工作就是教育他们了解这些事情。

　　最后，尽管你使用了Blake建议的策略，有一些倔强的主管仍继续坚持提供较少的资金或者对安全做较少的贡献。在这种情况下，不要急于承认失败。做这些事情并不容易，但是，体面的退出是很容易的。