Du har stort set besvaret dit eget spørgsmål her:

Hvordan kan jeg forklare ledelsen denne risiko for virksomheden

Du skal sætte ord på din rapport i disse vilkår: hvad ville ske, hvis en tredjepart fik fat i disse SSN'er? Jeg ved ikke det præcise svar på det, men det er en kombination af "vores kunder mister al tillid til vores forretning" og "regulatorerne smider et ton mursten på os fra en stor højde". Begge disse er helt klart dårlige resultater, selv for en manager uden nogen teknisk baggrund.

Som dette svar siger, forklarer du først konsekvenserne på måder, der er relevante for lederen - overholdelse, salgspåvirkning, dårlig omtale, etik eller hvad der gælder i dit tilfælde. Derudover skal du dog være i stand til at forklare de tekniske aspekter, i det mindste på et højt niveau, for enhver fra din kammerat til din manager til din onkel Ted, der stadig bruger en videobåndoptager til at se tv-shows .

Her er f.eks. hvordan Wikipedia's side om MitM-angreb begynder:

I kryptografi og computersikkerhed er en mand-i-den- middle-angreb (ofte forkortet MITM, MiM angreb, MitMA eller det samme ved hjælp af alle store bogstaver) er et angreb, hvor angriberens hemmeligt relæer og eventuelt ændrer den kommunikation mellem to parter, der tror de er direkte kommunikerer med hinanden.

(Wikipedia er et godt sted at lede efter tilgængelige forklaringer på specialemner.)

Forståelse, der ikke kræver nogen teknisk viden; du forklarer, at der er, som navnet antyder, en "mand" (agent) imellem brugeren og den server, han tror, ​​han kommunikerer med. Du kan derefter fortsætte med at bruge et eksempel til at forklare, hvad der sker, og hvordan angriberen får adgang (som den Wikipedia-side gør). Start på højt niveau, og lad lederens spørgsmål guide, hvad du ellers siger; han er sandsynligvis ligeglad med detaljerne i krypteringsalgoritmer eller DNSSEC eller certifikatfastgørelse, så før ikke med de tekniske detaljer. (Hvis han bryder sig , så giver han dig besked.)

Årsagen til, at du overhovedet har denne samtale, er sandsynligvis, at du har brug for ham til at træffe en beslutning. Giv ham værktøjerne til at træffe denne beslutning, vær klar til at give yderligere oplysninger hvis han spørger (eller helt klart har brug for det, f.eks. Fordi han har misforstået noget), men hjælp ham med at fokusere på sit problem, ikke dit. / p>

Jeg har haft fornøjelsen at tale med folk på alle niveauer af teknisk kompetence, fra højteknologiske teknologier helt ned til folk, der bogstaveligt talt ikke vidste, hvordan de skulle tænde tingene.

Den bedste måde at tale tech med en ikke-techie på er: Gør det ikke.

Analogier er den eneste måde at få dit pointer på at oversætte effekter til termer, de kan forstå.

For eksempel blev jeg engang spurgt, hvad forskellen mellem pc-hukommelse og harddiskhukommelse var, og hvad hver gjorde. Jeg brugte analogien med et skrivebord og et arkivskab. Jeg fortalte personen, at hvis du har et stort skrivebord, kan du have masser af ting på det, før du skal gå til arkivskabet, men når du gør det, skal du stoppe det, du arbejder på for at gøre det. Skrivebordet er din hukommelse, arkivskabet er din harddisk. Jo mere hukommelse du har, jo mindre ofte skal din computer gå til harddisken, og jo hurtigere fungerer den. Det er det samme som hvis du skulle stoppe med at arbejde og konstant gå til dit arkivskab.

Tag en lignende tilgang med ledelsen. Forklar, at kryptering er en lås, og at dataene er som indholdet i deres hus (brug et familiemedlems hus for en større effekt). Og ligesom du ikke vil lægge en billig lås på hoveddøren, så selv en amatør kan bryde ind og stjæle eller skade et familiemedlem, vil du ikke have billig kryptering (lås), som selv en script-kiddie kan bryde gennem og såre virksomheden eller dens kunder.

Først og fremmest .. hvis du sådan lagrer følsomme oplysninger, er det højst sandsynligt, at du skal overholde en eller anden form for ekstern lovgivning om, hvordan du gemmer disse oplysninger. I et sådant tilfælde kan du blot sige til ledelsen, at du ikke overholder kravene, og påpege sanktionerne for manglende overholdelse. Du skulle ikke være nødt til at forklare det nitty gritty for dem, da de betaler dig for at forstå den del for dem.

For det andet, hvis du ikke er i en reguleret industri (men det lyder som om du skulle være ) så kan du ikke undervise ledelsestekniske detaljer som trods alt, hvis de fandt tekniske detaljer så interessante, ville de ikke have forfulgt ledelsen. Du bruger kun, da det er analogi, jo enklere er det bedre.

Efter trin 1 og 2, hvis ledelsen stadig ikke ønsker at lytte, er du nødt til at foretage en dømmekald om, hvordan du har det med at arbejde der .