“如果你想让别人拥有某样东西，不要让它变得简单;让它有意义。他们为什么要做某事，为什么这件事对他们来说很重要或有意义?”

“如果你关心安全的用户行为，那就从心理角度来评估安全性，而不是从技术或商业角度来评估。”

“解释安全的理性论点并不会导致安全的行为。利用真实的情感信息来克服这种影响，增强他们的归属感。”

“当员工将网络安全视为自己的责任时，他们的行为就会变得更加安全。”

“确保员工在承认错误时感到心理安全。恐惧和羞耻并不能帮助一个人改变行为，而是让他们感到暴露和脆弱，这更有可能产生麻痹效应。”

“懒惰是我们与生俱来的天性。人们在私人生活和职业生活中体验到的便利程度之间的差距越大，你作为首席信息安全官的生活就会越糟糕。”

“传统的安全意识培训项目不起作用。如果你想让人们以一种安全意识的方式行事，那就消除员工在控制中感受到的摩擦。”

“对开源软件建立更好的控制是提高整体应用程序安全性的最简单、最有效的方法。”

“开源软件带来了许多风险因素，包括开放漏洞、主动维护和安全测试。”

需要对开源软件进行更主动的管理:

• 使用前评估

• 建立可信存储库

• 识别并消除问题代码

• 避免因发现晚而返工

“开源工具提供了许多优势;然而，它们是一个不完整的信息来源，因为它们通常只关注可能导致风险的漏洞。”

商业工具易于实现，并提供不同级别的修复指导。”

“评估工具，以便对恶意软件和其他供应链风险进行深入评估。”

“公司面临着巨大的经济逆风，这给管理层带来了管理成本的压力，这可能会给网络安全领导者带来优化网络安全成本的压力。”

大多数首席信息安全官预计，他们的预算在2023年将增长，要么超过通货膨胀，要么与通货膨胀同步。然而，只有不到一半的首席信息安全官有明确的安全预算。”

“对于业务决策如何影响网络安全成本和风险，人们缺乏可视性。我们需要更大的透明度，这样商业决策和风险决策才能相互交织，而不是被视为‘安全问题’。”

“在面临成本压力之前，抓住机会主动优化网络安全支出。”

“领导者需要了解背景，所以要把你的IT安全支出与你所在行业的同行进行比较。”

“安全永远是一种选择。我们可以选择花更多的钱来获得更多的安全，也可以选择节省一些钱来获得更少的安全。”