如何在安全上進(jìn)行投資?在信息安全領(lǐng)域這也許是最具挑戰(zhàn)性和爭(zhēng)議性的話題。首先是FUD——恐懼、不確定性和懷疑。沒有可以衡量的指標(biāo)或提供具體的數(shù)據(jù)結(jié)果，高管們只是因?yàn)楹ε露ㄥX。這個(gè)理由注定維持不了持續(xù)的在安全上進(jìn)行投入。此后不久，投資回報(bào)率(ROI)企圖將“收益回報(bào)”作為安全市場(chǎng)投資的一個(gè)衡量指標(biāo)。這是采用一個(gè)標(biāo)準(zhǔn)的做法來合理制定信息化的預(yù)算，但它和安全其實(shí)并沒有太緊密的聯(lián)系。實(shí)在沒有一個(gè)好的辦法，將在安全上所投資的金錢用某種直觀的形式展示出來。因此，把投資回報(bào)率與損失期望(ALE)相結(jié)合，風(fēng)險(xiǎn)度量策略與損失成本的頻率(或概率)相結(jié)合的方式，來制定年度總體投資預(yù)算。但隨之而來的問題是，損失期望太高，并且無法平均分?jǐn)偟矫磕辏該p失期望估算值也并不準(zhǔn)確。

[[134292]]

安全投資產(chǎn)生的價(jià)值被形容成了一種類似保險(xiǎn)的衍生品。個(gè)人和企業(yè)每年花在買保險(xiǎn)上面的錢高達(dá)資產(chǎn)本身價(jià)值的10%，盡管他們從來沒有得到過真正意義上的任何索賠。他們只是花錢買了一份安心，因?yàn)樗麄冎浪械氖录蠊紝⒂蛇@份保險(xiǎn)承擔(dān)。同樣，企業(yè)在安全上的投資，也等同于為其資產(chǎn)不被非法盜用買了一份保險(xiǎn)。你是如何衡量這份保險(xiǎn)的價(jià)值?它肯定是具有價(jià)值的，但是非常難以被量化。

因此，哪里能離開安全?安全的商業(yè)價(jià)值很難用一個(gè)簡(jiǎn)單的貨幣價(jià)值來表達(dá)。因此，考慮如下投資安全的理由：良好的安全實(shí)踐可以更好的支持業(yè)務(wù)。可以保障業(yè)務(wù)蓬勃發(fā)展。為業(yè)務(wù)的發(fā)展和壯大提供了堅(jiān)實(shí)的基礎(chǔ)。健全的信息安全實(shí)踐，不僅是降低風(fēng)險(xiǎn)和成本，同樣提供了新的財(cái)政收入機(jī)會(huì)。在過去，安全被認(rèn)為僅在保護(hù) (阻止訪問，封閉出口、 分段和分離系統(tǒng)和網(wǎng)絡(luò)，并否認(rèn)連接) 的范圍內(nèi)。今天，這一觀點(diǎn)已經(jīng)發(fā)展到偏重于支持全球范圍內(nèi)使用新的通訊方式的業(yè)務(wù)。通過提高信息的獲取量，推動(dòng)其業(yè)務(wù)發(fā)展。每個(gè)企業(yè)都可以擴(kuò)大其業(yè)務(wù)在全球范圍內(nèi)的影響力，而不管該企業(yè)的規(guī)模或位置。信息是企業(yè)擁有的重要資產(chǎn)之一，當(dāng)它共享給有權(quán)限訪問的人群時(shí)，是更可貴的。現(xiàn)代安全實(shí)踐可以將信息提供給那些需要信息的人，而不會(huì)將其透露給其他無關(guān)人員。

良好的安全實(shí)踐可以讓企業(yè)以一個(gè)更加整體化的方式下運(yùn)營(yíng)，特別是在與他們的客戶打交道時(shí)。通過精細(xì)化的提供給每個(gè)客戶的訪問權(quán)限，強(qiáng)企業(yè)可以擴(kuò)大其客戶群體并且可以提供給每個(gè)客戶的更好的服務(wù)，而不會(huì)損害企業(yè)利益、聲譽(yù)和客戶信息的機(jī)密性和完整性。一個(gè)好的安全計(jì)劃的明顯收益是提高業(yè)務(wù)的靈活性、降低成本和便攜性。

一、保證業(yè)務(wù)靈活性

如今，每家公司都希望將自己的經(jīng)營(yíng)業(yè)務(wù)展示給客戶、供應(yīng)商和合作伙伴，以達(dá)到接觸更多的人，并推動(dòng)和擴(kuò)展合作機(jī)會(huì)的目的。例如，制造商希望通過電子商務(wù)網(wǎng)站，增加個(gè)人客戶和提高銷售。網(wǎng)站需要連接到后端資源，如庫(kù)存系統(tǒng)，客戶數(shù)據(jù)庫(kù)，以及材料和資源計(jì)劃(MRP)的應(yīng)用程序。外部網(wǎng)絡(luò)需要允許合作伙伴和承包商連接到系統(tǒng)的開發(fā)，源代碼，和產(chǎn)品開發(fā)資源。通過互聯(lián)網(wǎng)和SaaS應(yīng)用程序交付業(yè)務(wù)流程工具給客戶。

在企業(yè)中知識(shí)就是力量，你知道得越多，就越能更好地適應(yīng)。因此在企業(yè)中，強(qiáng)大的安全防護(hù)可以深入了解在網(wǎng)絡(luò)上正在發(fā)生的事情。薄弱的安全防護(hù)讓許多企業(yè)忽視他們的基礎(chǔ)設(shè)施中的日常的信息流動(dòng)。如果一家公司的競(jìng)爭(zhēng)對(duì)手可以更好地控制他們的誠(chéng)信信息，他們將更有優(yōu)勢(shì)。保護(hù)一家公司的信息可以促進(jìn)新的商業(yè)機(jī)會(huì)，并且可以高效，安全地管理業(yè)務(wù)流程時(shí)消耗更少的資源。現(xiàn)代安全技術(shù)和實(shí)踐使生活更加輕松，而不是更加辛苦。

安全性準(zhǔn)許更有效地使用組織目標(biāo)的信息，因?yàn)樗前踩模M織可以放心地讓更多的外部團(tuán)體利用這些信息。你提供的可訪問信息越多，越多的人訪問，就意味著你可以用較少的資源做更多的事。通過適當(dāng)?shù)陌踩夹g(shù)構(gòu)建可靠的自動(dòng)化業(yè)務(wù)流程,可以讓企業(yè)專注于自己的核心業(yè)務(wù)。相互連接的生產(chǎn)力工具開啟了運(yùn)營(yíng)效率的新水平，以及一個(gè)可靠的安全計(jì)劃可以有效的規(guī)避風(fēng)險(xiǎn)。

當(dāng)公司各級(jí)管理人員有強(qiáng)烈的安全意識(shí)、安全原則并具備其基本知識(shí)，高度重視安全工作，公司將得到最大的收益。

二、降低成本

現(xiàn)代的安全實(shí)踐的確可以降低一些成本。比如數(shù)據(jù)丟失，濫用或錯(cuò)誤的損失可能是非常嚴(yán)重的。猖獗的病毒爆發(fā)，網(wǎng)站故障，或拒絕服務(wù)(DoS)攻擊導(dǎo)致服務(wù)中斷，客戶不能進(jìn)行購(gòu)買和公司不能辦理業(yè)務(wù)。甚至更糟的是，服務(wù)中斷可能會(huì)導(dǎo)致負(fù)面的新聞報(bào)道。不重視安全的后果將是非常顯著的。披露的安全事件會(huì)嚴(yán)重?fù)p害公司的信譽(yù)，因此需要具備爭(zhēng)取并留住客戶的能力。

越來越多的攻擊，被歸類為高級(jí)持續(xù)性威脅(APTs)。這些攻擊的目的是在網(wǎng)絡(luò)中部署惡意軟件，并保持不被發(fā)現(xiàn)，直到達(dá)到其惡意目的。通常情況下，攻擊的目標(biāo)是竊取金融信息或知識(shí)產(chǎn)權(quán)。服務(wù)或敏感數(shù)據(jù)泄漏的損失可能會(huì)導(dǎo)致罰款，費(fèi)用增加，并造成企業(yè)聲譽(yù)和股價(jià)的整體下跌。強(qiáng)大的安全性降低了信息丟失的可能性并提高服務(wù)可用性和保密性。

三、注重便攜性

便攜性意味著軟件和數(shù)據(jù)可以被用在多個(gè)平臺(tái)或可轉(zhuǎn)組織內(nèi)使用。“商品化”的信息已經(jīng)列入公司的需求上，以便能夠即時(shí)的提供合理和準(zhǔn)確的信息。

首席信息官和首席信息安全官在2011年調(diào)查得出的一項(xiàng)結(jié)論是信息安全支出超過前三年的一個(gè)最大驅(qū)動(dòng)力是客戶的需求，這意味著客戶想從具有良好安全保障的公司購(gòu)買產(chǎn)品和服務(wù)，事實(shí)上有時(shí)在完成購(gòu)買前需要提供安全實(shí)踐的憑證。

為了滿足當(dāng)今企業(yè)和消費(fèi)者的需求，安全控制需要作為架構(gòu)和網(wǎng)絡(luò)設(shè)計(jì)開發(fā)過程的一部分。顯然，廣泛獲取信息資源的水平需要經(jīng)過深思熟慮和正確的部署安全計(jì)劃。良好的安全性建立在最底層,可以實(shí)現(xiàn)一個(gè)重要的功能就是數(shù)據(jù)的便攜性。

便攜性也可以為業(yè)務(wù)創(chuàng)造價(jià)值。例如，蘋果公司的產(chǎn)品可以播放音樂并且允許個(gè)人音樂庫(kù)同步到平板電腦,手機(jī),MP3播放器大大增加了蘋果產(chǎn)品的功能。安全移動(dòng)平臺(tái)可以讓用戶的音樂無處不在，同時(shí)保護(hù)企業(yè)的利益，防止未經(jīng)授權(quán)的下載有版權(quán)保護(hù)的資料。