收入损失是您真正需要与商务人士讨论的唯一威胁。用金钱来描述这个问题，并强调如果安全没有得到高度重视，金钱将会丢失。说明金钱可能会通过以下方式丢失：

• 因泄露敏感用户信息而引发的诉讼。
• 不良宣传会损害品牌，进而导致收入损失。
• 不安全的结账流程为诉讼开辟了道路，也减少了销售额。
• 一个无法正常运行的网站对业务的影响很差，会损害转化率，并随着时间的推移减少流量。

最好有一种安全风险管理方法，以尽量减少这些风险发生的可能性。最后，主动比被动成本更低。

英特尔 IT 安全部门创建了我最喜欢的此类对话列表之一。

沿着左侧栏（“代理标签”）讨论哪种类型的人最有可能损害您的业务实际上可能很有趣。然后游戏就是决定如何做，以尽量减少他们成功的机会。

您可以下载 PDF 以获得更多详细信息：http: //www.intel.com/it/pdf/threat-agent-library.pdf

正如@VirtuosiMedia 所说，保护收入是 IT 安全的“杀手锏”。您可以就成本方面的威胁提出问题：

• 如果该服务器被盗，更换该服务器的费用是多少？
• 更换服务器上的数据的成本如何？
• 在恢复期间失去业务的机会成本是多少？
• 如果其他人使用被盗数据，企业将付出什么代价？

...等等。

就个人而言，我会先让企业代表谈论他们最有价值的资产。不是安全专业人员的人通常很难找出威胁。并且更难弄清楚哪些威胁对他们最重要。但大多数优秀的商业人士都知道什么对他们的业务很重要——声誉、他们的产品、他们的收入来源、保持低成本。人们喜欢谈论对他们来说重要的事情。先让他们订婚。

然后通过对那些有价值的事物的风险采取威胁分析的角度。如果这是初步讨论，您将不知道可以利用哪些漏洞 - 但是根据对资产的损害来处理威胁会使其成为现实。

就列表而言，我的口袋里有常见资产类型的威胁列表。例如：

• 声誉- 威胁包括竞争对手发起恶意攻击、员工错误、希望为自己出名的专业黑客、
• 收入- 希望将收入收入囊中的小偷（可以在公司内部也可以在公司外部），因个人数据保护不当而导致的诉讼造成的损失，监管机构罚款造成的损失。尸体等

我会准备好定制每个列表以适合客户。如果您没有积极地调整列表以解决受众问题，您就会给人一种安全性是一个死记硬背的印象。