对我来说有好几次奏效的方法是将下面的图表贴在管理层面前：

浏览威胁列表（左栏）并询问他们是否认为所描述的任何类型的人可能会损害业务。

如果是这样，那么你可能已经赢得了一场战斗。现在您可以描述解决这些威胁所需的内容。

@atdre 在另一个问题上对此图表有很好的评论：

我不喜欢这样，因为它没有传达勾结或阴谋的力量。地下社区和地下经济将所有这些人放在同一个房间里，并为他们提供交易工具。– atdre`

因此，您可能希望扩展威胁列表以包括社区。

对您公司的网络发起“模拟”攻击只能在高级管理层基于对您的工作范围的理解和对攻击结果的商定限制的基础上获得明确的书面许可。否则，您可能会因破坏、间谍活动或单纯违反当地规则而被解雇。

但是在没有意识到问题的情况下，如何获得这样的许可呢？这就是你的“电梯推销”想法是个好主意的地方。我建议以正确的顺序将它带给公司层次结构中的相关人员，从 IT 人员开始，然后再转到管理层/C 级/董事。管理层已将日常运营的责任委托给系统管理员，他们是最终必须做出任何改变的人。将您的建议作为来自上层的法令提出只会疏远那些负责执行这些建议的人。

与有钱的人谈论安全总是关于风险的谈话。不要做过度戏剧化的电梯推销，或者到处跑来跑去尖叫世界末日。这是一种很容易变得名誉扫地并被普遍忽视的简单方法。相反，与业务部门讨论他们试图通过他们的系统实现的目标，然后介绍他们当前由于（缺乏）安全控制而面临的风险。

如果您可以让企业相信他们承担的风险会在事故中造成每年 1000 万英镑的损失，那么您可以通过每年 100,000 英镑的控制来消除风险，那么这很容易。他们会抓住机会廉价地降低他们的总风险。

企业花费的一切都需要在业务环境中证明是合理的。“我们的基于 Windows 的公共网络服务器上没有防病毒软件”毫无意义。“我们很容易让我们的服务每年中断一次，每次损失 200 万英镑”是有意义的。

一旦你建立了一套新的安全控制，挑战就是让它们保持有效。安全性与流程和技术有关。一旦你说服了企业花一些钱来降低他们的风险，那么问题就变成了改变安全是你所购买的东西的看法。事实上，这是你做的事情。

一个主要论点：安全灾难不是以“如果”开头的问题。它们以“何时”开头！

正确的安全策略不会完全消除风险，因为这是不可能的。但这将大大降低风险，从而降低灾难发生率。这是一个投资和投资回报的问题，真的。花钱让你损失更少。思想必须与质量保险相同。