如何在安全上进行投资?在信息安全领域这也许是具挑战性和争议性的话题。
首先是恐惧、不确定性和怀疑。没有可以衡量的指标或提供具体的数据结果,高管们只是因为害怕而花钱。这个理由注定维持不了持续的在安全上进行投入。此后不久,投资回报率(ROI)企图将“收益回报”作为安全市场投资的一个衡量指标。这是采用一个标准的做法来合理制定信息化的预算,但它和安全其实并没有太紧密的联系。实在没有一个好的办法,将在安全上所投资的金钱用某种直观的形式展示出来。因此,把投资回报率与损失期望(ALE)相结合,风险度量策略与损失成本的频率(或概率)相结合的方式,来制定年度总体投资预算。但随之而来的问题是,损失期望太高,并且无法平均分摊到每年,所以损失期望估算值也并不准确。
安全投资产生的价值被形容成了一种类似保险的衍生品。个人和企业每年花在买保险上面的钱高达资产本身价值的10%,尽管他们从来没有得到过真正意义上的任何索赔。他们只是花钱买了一份安心,因为他们知道所有的事件后果都将由这份保险承担。同样,企业在安全上的投资,也等同于为其资产不被非法盗用买了一份保险。你是如何衡量这份保险的价值?它肯定是具有价值的,但是非常难以被量化。
因此,哪里能离开安全?安全的商业价值很难用一个简单的货币价值来表达。因此,考虑如下投资安全的理由:良好的安全实践可以更好的支持业务。可以保障业务蓬勃发展。为业务的发展和壮大提供了坚实的基础。健全的信息安全实践,不仅是降低风险和成本,同样提供了新的财政收入机会。在过去,安全被认为仅在保护 (阻止访问,封闭出口、 分段和分离系统和网络,并否认连接) 的范围内。今天,这一观点已经发展到偏重于支持全球范围内使用新的通讯方式的业务。通过提高信息的获取量,推动其业务发展。每个企业都可以扩大其业务在全球范围内的影响力,而不管该企业的规模或位置。信息是企业拥有的重要资产之一,当它共享给有权限访问的人群时,是更可贵的。现代安全实践可以将信息提供给那些需要信息的人,而不会将其透露给其他无关人员。
良好的安全实践可以让企业以一个更加整体化的方式下运营,特别是在与他们的客户打交道时。通过精细化的提供给每个客户的访问权限,强企业可以扩大其客户群体并且可以提供给每个客户的更好的服务,而不会损害企业利益、声誉和客户信息的机密性和完整性。一个好的安全计划的明显收益是提高业务的灵活性、降低成本和便携性。
热门专题
