“讓安全與業(yè)務(wù)保持一致”，這是許多網(wǎng)絡(luò)安全資深人士經(jīng)常說的一句話。但實(shí)際上，這只是個美好的愿望，絕大部分組織機(jī)構(gòu)中的安全就是個成本中心。雖然成本中心也會有很多價值，但更不幸的是，很難從安全成本中心將價值識別出來。

網(wǎng)絡(luò)安全與業(yè)務(wù)保持一致的兩個步驟

基本上來說，讓安全與業(yè)務(wù)保持一致需要兩個步驟。第一步是理解業(yè)務(wù)語言，因?yàn)樗衅髽I(yè)的通用語言都是財務(wù)指標(biāo)。大家都有自己的成本效益(ROI)衡量標(biāo)準(zhǔn)，比如零售業(yè)每平方英尺的銷售額或醫(yī)療保健行業(yè)每名患者的治療成本。因此，我們需要在網(wǎng)絡(luò)安全方面，開發(fā)出類似于企業(yè)其他部門或業(yè)務(wù)線的ROI方法和指標(biāo)。

第二步是開發(fā)方法和指標(biāo)，以確定效益成本分析和以價值（而非利潤）方式的投入回報。一開始，可以使用作業(yè)成本法等成本核算方法，來計算成本。或使用盈虧平衡分析，來評估投資。它可以很簡單，比如明確投入的金額以定性地判斷投入是否“值得”。很可能許多組織已經(jīng)在這樣做，但沒有將其清晰明確。

進(jìn)一步地，如果在一個解決方案上花費(fèi)100萬是“值得的”，那么這個解決方案能夠通過減少風(fēng)險帶來的相應(yīng)價值至少要超過100萬。這種方法可稱之為投入下限，既一個組織愿意為網(wǎng)絡(luò)安全付出的支出總額，要少于因沒有投入而減少的業(yè)務(wù)收入，當(dāng)然也包括因缺乏安全措施而帶來的損失。

一旦有了這些“經(jīng)濟(jì)賬”，事情就會變得非常令人興奮。企業(yè)就能通過查看財務(wù)比率，如控制成本、會話成本、損失價值比等，來明確“網(wǎng)絡(luò)安全是否與業(yè)務(wù)保持一致”，并非常便于下一次的決策。

曾有一些人表示過，“不惜一切代價”確保安全。但這絕不適用于以“贏利”為存在目的的企業(yè)，只適用于安全需求大于經(jīng)濟(jì)利益的某些較為極端的情況。