如果你想說服自已企業的高管和董事會正確投資網絡安全，可以先從這步開始：停止講述恐怖故事，別再用好萊塢黑客式的橋段加以佐證。

黑客，黑客，黑客，到處都是黑客。偷走銀行千萬巨款，加密孫子照片逼迫老奶奶交出養老金，黑市上售賣無數人的登錄憑證和口令。但是，為什么老喊這些人“黑客”？為什么不用他們真實的身份——罪犯，來加以稱呼呢？

對很多人而言，黑客就是個好萊塢漫畫形象，跟《黑客帝國》里的尼奧似的，是個不可阻擋的技術對手兼功夫大師，飛檐走壁、意念擋子彈、隨手拉個鍵盤就能侵入任何系統——腎上腺素飆升有沒有？恐懼和敬畏之感油然而生有沒有？

一切要追溯到1983年的《戰爭游戲》，馬修·布羅德里克飾演的大衛無意中黑進了NORAD(北美防空聯合司令部)，以為自己只是闖入了一家電腦游戲公司。怎么就不能僅僅好好玩局國際象棋而不是引發熱核戰爭呢？據說，這電影讓羅納德·里根總統大為恐慌，甚至去問了時任參謀長聯席會議主席的四星上將小約翰·威廉·維西將軍——這種事到底會不會真的發生？

得到的答案當然是“會”，并導致了一項機密國家安全決策指導方案——NSDD-145，名為《電子通信與自動化信息系統安全國家政策》。我們唯一能期望的，就是他們接下來干的事是修改 W.O.P.R.(電影中超級計算機名) 管理員口令，別再是簡單易猜的“Joshua(電影中游戲AI的名字)”，或者至少，用上雙因子身份認證。

雖然這個案例分析說明好萊塢確實幫助灌輸了切實有效的恐懼、不確定和懷疑到總統腦子里，最終促成了制定和實現網絡安全政策，但它也很不幸地成為了IT與高管層溝通風險的模板。

此去經年，謝耳朵式技術宅仍將繼續搗鼓出超級復雜的系統，只有他們自己和滿懷憂慮的青少年能弄懂怎么操作；而公司高管和政府官員則越來越不能理解這些極客到底在說什么。

后來的黑客電影，比如《通天神偷》、《劍魚行動》、《黑客》、《網絡上身》等等，都只是繼續給好萊塢式荒謬黑客形象添磚加瓦而已，只會讓非技術出身的高管更加難以嚴肅對待計算機和互聯網事務。

基本上，這就是如今這種根本沒對到點兒上的局面的成因：我們壓根兒就被帶偏了視線，對現實黑客構成的真正威脅視而不見。

那么，有哪些是我們可以不再錯下去的呢？

1. 別再成為標題黨

文題割裂的幻燈展示太過套路，沒人會真正重視這些標題驚悚內容貧瘠的東西了。事實上，過去幾年里，他們已經從觸目驚心發展到了有點緊張，再到倍感無聊，直到甚為煩人。

聳人聽聞的新聞頭條更好的用處，是在情景思考訓練中。作為董事會議、高管研修或安全團隊培訓的一部分，將這些現實生活案例融入進去，解構它們。想象新聞文章里描述的具體場景真的發生在公司身上，然后進行角色扮演，設身處地解決該狀況。

公司各層級都能用這種方法學到很多。不僅僅有助于讓問題討論接地氣，還能讓參與者找出解決方案，培訓團隊處理現實數據泄露的流程。

這么做了之后，下次需要升級防火墻時，高管領導團隊和董事會就會對真實情況更為了解，也更可能進行切實有效的決策。

2. 不要再用黑客主題剪貼畫

關于黑客的文章和展示中用的基本就是那5種陰暗詭異的剪貼畫。一種是看起來就邪惡的套頭衫男，一種是黑白條紋服裝強盜拎著筆記本電腦逃竄，一種是0&1矩陣上浮現骷髏圖案，一種是把掛鎖，還有一種是紅色大字體的“黑客”字樣寫在任何東西上面。

這種黑客主題剪貼畫網上到處都有，大同小異。與其網上盜圖，不如直擊重點，把自家公司的真實數據擺出來，用信息圖之類的展示來支持你的商業案例或策略修改請求。看圖說話，數據圖更說明問題。

3. 停止使用業界行話

董事會里的注冊會計師可聽不懂什么“APT利用了特權用戶憑證，在多終端上安裝rootkit，通過加密命令與控制信息繞過我方IPS”。但是，他能聽懂“我們要花10萬美刀在叫防火墻的東西上，因為罪犯剛剛嘗試過偷盜價值2000萬美刀的客戶信用卡數據，可能將公司置于PCI違規罰款乃至上億美元集體訴訟的風險中”。

4. 別再恐嚇，開始講理

想象一下，如果CFO想要提案遏止詐騙和身份盜竊的新項目時，會不會扔出一堆圖片和摘自《十一羅漢》、《偷天換日》的臺詞來給董事會陳詞加料？哪怕他是為了給公司省去千萬美元的欺詐損失和防止客戶信任度丟失都不會這么干。那么，為什么我們的IT人員要把自己定位在科幻電影情節和角色的上下文中呢？

當你向高管呈現恐怖故事和好萊塢橋段，他們就變成了類似電影看客的信息消費者。高管是不能，也不會根據恐懼或虛構故事引用就采取行動的。但是，如果有清楚明白的風險分析，再加上縝密的風險管理策略，他們就可以付諸行動。