考虑通常的风险管理声明：

不要花 1000 美元来保护 100 美元

现在，这可能只是高管们不知道他们想要的东西将花费 1000 美元的情况；他们更有可能只是没有意识到他们只保护了 100 美元的价值。

如果是这种情况，您可以考虑尝试实施能够提供一些硬数字的方法，以取代对“安全”这个可怕的大词的恐惧所伴随的模糊的不安感。
如果他们想在财政上负责，他们应该尝试了解实际的成本、风险和收益。我什至会尝试在不使用安全一词的情况下与他们进行讨论，这似乎使他们感到困惑和恼火。

也有可能，因为他们不理解，他们担心做他们的尽职调查，和/或如果出现任何问题，可能会被追究责任（个人或公司）。需要向他们展示如何有效地做到这一点，但仍然“足够好”——不是永远不会被黑客入侵，而是让它成为一个公平的权衡。即使他们确实遭到了黑客攻击，他们也需要合理的证据证明他们已经尽职尽责，以免他们的声誉受损（或其他类似后果）。

我建议使用FAIR，这是一种为特定风险定价的定量方法。
另请参阅：“您如何比较风险......？”

无论哪种方式，这都应该使您能够将谈话从“安全”的柔软、刺耳、不安的感觉转变为关于成本、收益和金钱的强硬谈话。总是把它带回来给他们看钱。

最坏的情况是，如果没有其他办法，那就制定一个昂贵的、分阶段的多年计划。让它优先考虑重要的事情，就像你看到的那样，把你本来希望放弃的问题推迟到以后几年。
在大多数组织中，后面的事情无论如何都不会完成。即使确实如此，通过这种方式，您仍然可以让他们做正确的事情，并且他们会在安全感上花钱——这有时也很重要。

最好的部分是，因为它是分阶段的，你可以在计划中建立一个阶段之间的重新调整步骤。将其用作完整安全生命周期的平台...您可以根据需要不断重新调整不重要的阶段，以挤入其他重要的部分。

有时事情必须失败，这听起来像是其中之一。当我读到你的情况时，你负责确保一个陷入困境的项目，下属和上级都在追逐完美的兔子洞。因此，这在很多方面都是一个“道路上的车道”问题。高级管理人员选择被你的员工的不切实际的计划所吸引，而没有通过你的工作。这在几个层面上可能非常令人沮丧。

考虑这是一个教学时刻，并记住您将再次来到这里（如果公司没有对此感到沮丧）。让您的员工知道您认为团队应该用一种声音说话。让你的老板知道他们正在走向悬崖，这在很大程度上是由于跳过了决策链。手头有你对领导层最好的建议并给予它。如果您不能让他们倾听，那么请考虑不改变路线是他们的特权，因为他们实际上是您的前辈。

如果这如您所料，那么未来的决定可能会以更合乎逻辑的方式做出。否则，该组织注定要失败，而您几乎无法阻止进一步的失败。无论哪种方式，重点是在您的上级以您不同意的方式决定的问题上，尽您所能提供帮助，并了解您的角色和能力的限制。

这里的一个业务优势是，如果我是受雇的安全专家，那么资深人士会同意我的预算，这已经给了我一些牵引力。

除此之外，每个安全决策都应该真正基于业务风险决策，并且 IT 应该与该决策几乎没有关系，除了能够详细说明各种技术选项中涉及的风险并解释实施与决策相关的问题。

从这个角度来看，我一直采用从业务战略 -> IT 战略 -> 安全战略开始的方法，因此，如果组织对其所有资产（不仅仅是 IT 资产）拥有完整的风险登记册，则论点变为：

• 被利用的应用程序 X 的合格风险和影响是什么？
• 我们希望为解决方案预算多少百分比？
• 考虑到该预算，什么解决方案是最好/最合适的？

预算可以是一次性成本、滚动资源成本等——但无论哪种方式，它都归结为衡量业务风险并在业务层面做出决策。

在现实世界中，我并没有遇到太多问题，因为大多数公司确实希望有效地（或者实际上是便宜地）实施安全性，但在 IT 习惯于非常自主和强大的奇怪组织中，它需要一些教育和文化的转变。

在我能想到的三个例子中，安全偏执狂没有很好地调整并离开而不是与现实世界的风险更加融合。

我认为，在董事会确实相信安全偏执狂的奇怪情况下，唯一真正的解决方法是举例说明其规模和同行业的其他组织正在做什么，并帮助他们比较数据。

你将如何继续前进？

给他做保安工作。索取详细的白皮书或平台交易研究。让他查看您正在执行的应用程序类型的 CVE。让他生成复杂性指标并运行动态分析工具。给他想做的工作，让他开心。将他与工作区分开来，并让团队的其他成员专注于您的优先事项。让他受邀参加的会议具有高度结构化的议程、会议记录和有限的公开讨论。不要排斥他或孤立他。他会注意到这一点并可能采取对抗行动，尤其是因为他有管理层的耳朵。如果你不能改变他的想法，那就削弱他的影响。